EN65-V1 Sistemas de gestión en Tecnologías de la Información TI

La organización mundial de estándares ISO (por sus siglas en inglés), ha venido adelantando una política que ofrece a la photography-801891_1920comunidad mundial normas cada vez más sectoriales. Con el éxito obtenido con la publicación de la norma ISO 9001:1987 y sus versiones posteriores, se vio la necesidad de aplicar este modelo incluyendo requisitos específicos a cada sector, así nacieron normas como ISO 16949 para el sector automotriz e ISO 22000 para el sector de alimentos entre otras.

El enorme avance de la tecnología con el desarrollo de los computadores e internet ha generado la denominada segunda revolución industrial: un gran avance en las tecnologías de la información y la comunicación que han transformado las empresas de manera formidable.

ISO entonces genera varias normas para el sector de Tecnologías de la Información y la comunicación Tic´s,  las principales de ellas que son certificables, son:

 

Norma

Nombre

Alcance

ISO 20000-1Tecnología de la información.

Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio

Sistema de gestión del servicio incluye el diseño, transición, prestación y mejora de servicios de TI
ISO 27001Tecnología de la información.

Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos.

El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad y la disponibilidad de la información.
ISO 22301Continuidad del Negocio.

Sistemas de gestión de continuidad del negocio. Requisitos.

Sistema de gestión documentado para protegerse, reducir la capacidad de ocurrencia, preparar, responder y recuperarse de los incidentes perjudiciales que puedan surgir.
ISO 29110Ingeniería de Software – Perfiles del Ciclo de Vida en Pequeñas Entidades. Requisitos.Sistema de gestión orientado a la calidad del desarrollo y mantenimiento de software.

Según el informe de ISO a diciembre de 2015, algunas de las empresas certificadas a nivel mundial en los modelos Tic´s son:

Número de empresas certificadas por país.

País

ISO 27001ISO 20000-1ISO 22301
Japón

8240

299

200

Reino Unido

2790

197

345

India

2490

425

480

China

2469

138

3

EEUU

1247

223

40

México

104

28

2

Colombia

103

17

0

Brasil

94

40

5

Argentina

52

6

0

Chile

32

11

6

Perú

22

10

1

Ecuador

6

1

0

Venezuela

1

0

0

 

No se tienen registros oficiales de la ISO 29110

 

ISO 20000-1:2011 Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio

La ISO 20000-1 es una aplicación de la norma ISO 9001 a los servicios de tecnología. Su primera versión fue en el año de 2005, teniendo una revisión en el año 2011. Esta norma aún no se acogió a lo establecido en el anexo SL, por lo que no tiene la misma numeración de ISO 9001:2015 o ISO 27001:2013 o ISO 22301:2012.

La norma ISO 20000-1 incluye dentro de sus requisitos a las normas ISO 27001 e ISO 22301:

imagen-entrada-en65

 

El campo de aplicación de la norma ISO 20000-1 es:

“Esta parte  de la norma  es sobre  sistemas  de gestión  del servicio  (SGS).  Se especifican  los requisitos   para  que  un  prestador   del  servicio   planifique,   establezca,   implemente,   opere, monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseño, transición, prestación y mejora de los servicios para cumplir con los requisitos de servicio. Esta parte de la norma puede ser utilizada:

  1. a) por una  organización   que  busca  servicios  de  prestadores   de  servicios  y  exige  la garantía de que se cumplirán sus requisitos de servicio;
  2. b) por una  organización   que  exige   un  enfoque  consistente   por  parte  de  todos  sus prestadores de servicios, incluyendo aquellos en la cadena de suministro;
  3. c) por un prestador  de  servicios  que  pretende  demostrar  su capacidad  para  el diseño, transición, prestación y mejora de servicios que cumplen con los requisitos de servicio;
  4. d) por un prestador de servicios para monitorear, medir y revisar sus procesos  y servicios en la gestión del servicio;
  5. e) por un prestador de servicios para mejorar el diseño, la transición y la prestación de los servicios a través de la implementación y la operación eficaces de un SGS;
  6. f) por un evaluador o auditor,  como  criterio  para  una evaluación  de la conformidad  del

SGS de un prestador de servicios con los requisitos de esta parte de la norma.”

 

Requisitos de ISO 20000-1

 

1 OBJETO Y CAMPO DE APLICACIÓN

2. REFERENCIAS NORMAIVAS

3. TERMINOS Y DEFINICIONES

4. REQUISITOS GENERAL DEL SISTEMA DE GESTIÓN DEL SERVICIO

4.1 RESPONSABILIDAD DE LA DIRECCIÓN

4.2 GOBIERNO DE LOS PROCESOS OPERADOS POR OTRAS PARTES GESTIÓN DE LA DOCUMENTACIÓN

4.3 GESTIÓN DE LA DOCUMENTACIÓN

4.4 GESTIÓN DE LOS RECURSOS

4.5 ESTABLECER Y MEJORAR EL SGC

  1. DISEÑO Y TRANSICIÓN DE LOS SERVICIOS NUEVOS O MODIFICADOS

5.1 GENERALIDADES

5.2 PLANIFICAR LOS SERVICIOS NUEVOS O MODIFICADOS

5.3 DISEÑO Y DESARROLLO DE SERVICIOS NUEVOS O MODIFICADOS

5.4 TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS

  1. PROCESO DE PRESTACIÓN DEL SERVICIO

6.1 GESTIÓN DEL NIVEL DE SERVICI0

6.2 PRESENTACIÓN DE INFORMES DEL SERVICIO

6.3 GESTIÓN DE LA CONTINUIDAD Y LA DISPONIBILIDAD DEL SERVICIO

6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS

6.5 GESTIÓN DE LA CAPACIDAD

6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

  1. PROCESOS DE RELACIÓN

7.1 GESTIÓN DE LAS RELACIONES CON EL NEGOCI0

7.2 GESTIÓN DE LOS PROVEEDORES

  1. PROCESOS DE SOLUCIÓN

8.1 GESTIÓN DE INCIDENTES Y SOLICITUDES DE SERVICIO

8.2 GESTIÓN DE PROBLEMAS

  1. PROCESOS DE CONTROL

9.1 GESTIÓN DE LA CONFIGURACIÓN

9.2 GESTIÓN DEL CAMBIO

9.3GESTIÓN DE VERSIONES E IMPLEMENTACIONES

 

 

ISO 27001: 2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la información.

La primera norma de sistema de gestión de la seguridad de la información fue la ISO 17799:2005 Código de buenas prácticas para la gestión de la seguridad de la información.

La ISO 27001 versión 2013 fue una de las primeras normas en acogerse al anexo SL, (anexo que normaliza todas las normas) y que tiene 10 capítulos principales. La norma define su ámbito de la siguiente forma:

“Esta Norma ha sido elaborada para suministrar requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación del sistema de gestión de la seguridad de la información de una organización están influenciados por las necesidades y objetivos de la organización, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura de la organización. Se espera que todos estos factores de influencia cambien con el tiempo.”

 

“Es importante que el sistema de gestión de la seguridad de la información sea parte de los procesos y de la estructura de gestión total de la información de la organización y que esté integrado con ellos, y que la seguridad de la información se considere en el diseño de procesos, sistemas de información y controles. Se espera que la implementación de un sistema de gestión de seguridad de la información se difunda de acuerdo con las necesidades de la organización.”

Requisitos de ISO 27001

  1. OBJETO Y CAMPO DE APLICACIÓN

2. REFERENCIAS NORMAIVAS

3. TERMINOS Y DEFINICIONES

4. CONTEXTO DE LA ORGANIZACIÓN

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD DE LA INFORMAICÓN

  1. LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

5.2 POLÍTICA

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

  1. PLANIFICACIÓN

6.1  ACCIONES PARA TRATAR  RIESGOS Y OPORTUNIDADES

6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS

  1. SOPORTE

7.1 RECURSOS

7.2 COMPETENCIA

7.3 TOMA DE CONCIENCIA

7.4  COMUNICACIÓN

7.5 INFORMACIÓN DOCUMENTADA

  1. OPERACIÓN

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL

8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

  1. EVALUACIÓN DEL DESEMPEÑO

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.2 AUDITORÍA INTERNA

9.3 REVISIÓN POR LA DIRECCIÓN

  1. MEJORA

10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS

10.2 MEJORA CONTINUA

 

 

ISO 22301:2012 Sistemas de gestión de continuidad del negocio.

British Standards Institution, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones, con base en esta norma en el año de 2012 se publicó la ISO 22301.

Continuidad de Negocio. Capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial.

“Esta norma especifica los requisitos para la creación y gestión de un Sistema de Gestión de

Continuidad de Negocio (BCMS, por sus siglas en inglés) efectivo.

Un BCMS hace énfasis en la importancia de:

Entender las necesidades de la organización y la necesidad de establecer una gestión de Continuidad de Negocio, sus objetivos y política.

Implementar y operar los controles y medidas para administrar la capacidad general de una organización en responder a incidentes.

Hacer el seguimiento y revisión de la eficacia del BCMS Mejorar continuamente basado en mediciones objetivas.

El BCMS, como todos los sistemas de gestión, contiene los siguientes componentes claves:

a) Una política;

b) Personas con responsabilidades definidas;

c) Gestión de los procesos relativos a:

1)            Política,

2)            Planeación,

3)            Implementación y operación,

4)            Evaluación de desempeño,

5)            Análisis de la gestión, y

6)            Mejoramiento.

d) Documentación que proporcione evidencia auditable; y

e) Cualquier proceso de gestión de la continuidad de negocio pertinente para la organización.

La Continuidad de Negocio contribuye a una sociedad con mayor resiliencia. La comunidad en general y el impacto del ambiente organizacional en la organización y en otras organizaciones, podrían estar involucrados en el proceso de recuperación.”

 

Requisitos de ISO 22301

1. ALCANCE

2. REFERENCIAS NORMAIVAS

3. TERMINOS Y DEFINICIONES

4. CONTEXTO DE LA ORGANIZACIÓN

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO

4.2 ENTENDIENDO LAS DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN

4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD CONTINUIDAD DEL NEGOCIO.

  1. LIDERAZGO

5.1 GENERALIDADES

5.2 COMPROMISO DE LA ALTA DIRECCIÓN

5.3 POLÍTICA

5.4 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

6. PLANIFICACIÓN

6.1  ACCIONES PARA TRATAR  RIESGOS Y OPORTUNIDADES

6.2 OBJETIVOS DE CONTINUIDAD DEL NEGOCIO Y PLANES PARA LOGRARLOS

7. RECURUSOS

7.1 GENERALIDADES

7.2 COMPETENCIA

7.3 TOMA DE CONCIENCIA

7.4  COMUNICACIÓN

7.5 INFORMACIÓN DOCUMENTADA

8. OPERACIÓN

8.1 PLANIFICACIÓN Y CONTROL

8.2 ANÁLISS DE IMPACTO AL NEGOCIO Y VALORACIÓN DEL RIESGO

8.3 ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO

8.4 ESTABLECER E IMPLEMENTAR PROCEDIMIENTO DE CONTINUIDAD DEL NEGOCIO

8.5 EJERCICIOS Y PRUEBAS

9. EVALUACIÓN DEL DESEMPEÑO

9.1  SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.2  AUDITORÍA INTERNA

9.3 REVISIÓN POR LA DIRECCIÓN

10. MEJORA

10.1  NO CONFORMIDAD Y ACCION CORRECTIVA

10.2  MEJORA CONTINUA

 

 

 

BILIOGRAFIA

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 20000-1: 2012-12-12 TECNOLOGÍA DE LA INFORMACIÓN.

GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO

 

INTERNACIONAL STANDARD

ISO/IEC 20000-1 2005-12-15

INFORMATION TECHNOLOGY – SERVICES MANAGEMENT. PART 1: SPECIFICATION.

 

NORMA TÉCNICA COLOMBIANA

NTC IEC 27001:2013-12-11 TECNOLOGÍA DE LA INFORMACIÓN.

TÉCNICAS                           DE    SEGURIDAD.    SISTEMAS    DE GESTIÓN      DE      LA     SEGURIDAD      DE      LA INFORMACIÓN. REQUISITOS

 

NORMA TÉCNICA PERUANA

NTP-ISO/IEC 17799:2007

EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS

PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

 

NORMA TÉCNICA COLOMBIANA

NTC 5722: 2012-10-31 CONTINUIDAD DE NEGOCIO.

SISTEMAS  DE  GESTIÓN  DE  CONTINUIDAD   DE NEGOCIO. REQUISITOS

 

INFORME SURVEY DICIEMBRE DE 2015 DE ISO. NÚMERO DE EMPRESAS CERTIFICADAS POR MODELO Y PÁIS.

Leave a Reply