Producción y provisión del servicio.
8.5.1 Gestión de cambios.
8.5.1.1 Política de gestión de cambios.
- Se debe establecer y documentar una política de gestión de cambios para definir:
- Los componentes de servicios y otros elementos que están bajo el control de la gestión de cambios.
- Las categorías de cambio, incluido el cambio de emergencia, y cómo se deben gestionar.
- Los criterios para determinar los cambios con el potencial de tener un gran impacto en los clientes o en los servicios.
8.5.1.2 Inicio de la gestión de cambios.
Deben registrarse y clasificarse las peticiones de cambio, incluidas las propuestas para incorporar, retirar o transferir servicios.
- Los servicios nuevos y cambios en los servicios con el potencial de tener un gran impacto en los clientes o en otros servicios según lo establecido en la política de gestión de cambios.
- Las categorías de cambio que deben ser gestionadas por el diseño y transición de servicios de acuerdo con la política de gestión de cambios.
- La retirada de un servicio.
- La transferencia de un servicio existente desde la organización a un cliente o tercero.
- La transferencia de un servicio existente desde un cliente o tercero a la organización.
La evaluación, aprobación, programación y revisión de los servicios nuevos o modificados en el alcance del apartado 8.5.2 deben gestionarse mediante las actividades de gestión de cambios del apartado 8.5.1.3.
Las peticiones de cambio que no se gestionan mediante del apartado 8.5.2 deben gestionarse mediante las actividades de gestión de cambios del apartado 8.5.1.3.
8.5.1.3 Actividades de gestión de cambios.
La organización y las partes interesadas deben tomar decisiones sobre la aprobación y la prioridad de las peticiones de cambio. La toma de decisiones debe tener en cuenta los riesgos, los beneficios de negocio, la viabilidad y el impacto financiero.
La toma de decisiones debe considerar también los impactos potenciales del cambio en:
-
- Los servicios existentes.
- Los clientes, usuarios y otras partes interesadas.
- Las políticas y planes requeridos por este documento.
- La capacidad, disponibilidad de los servicios, continuidad de los servicios y seguridad de la información.
- Otras peticiones de cambio, entregas y planes de despliegue.
Los cambios aprobados deben ser preparados, verificados y, cuando sea posible, probados. Se debe comunicar a las partes interesadas las fechas propuestas de implementación y otros detalles de implementación de los cambios aprobados.
Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir o remediar un cambio fallido. Los cambios fallidos deben analizarse y acordar las acciones a llevar a cabo.
La organización debe revisar los cambios para comprobar su eficacia y llevar a cabo las acciones acordadas con las partes interesadas.
Los registros de peticiones de cambio deben analizarse a intervalos planificados, para detectar tendencias. Los resultados y conclusiones extraídos del análisis deben registrarse y revisarse para identificar oportunidades de mejora.
8.5.2 Diseño y transición de servicios.
8.5.2.1 Planificación de servicios nuevos o modificados.
La planificación debe usar los requisitos de servicio para los servicios nuevos o modificados determinados en el apartado 8.2.2 y debe incluir o contener una referencia a:
-
- Las autoridades y responsabilidades sobre las actividades de diseño, construcción y transición.
- Las actividades a realizar por la organización u otras partes con sus plazos.
- Los recursos humanos, técnicos, de información y financieros.
- Las dependencias de otros servicios.
- Las pruebas necesarias para los servicios nuevos o modificados.
- Los criterios de aceptación de servicios.
- Los resultados esperados de la prestación de los servicios nuevos o modificados, expresados en términos medibles.
- El impacto en el SGS, en otros servicios, en cambios planificados, en clientes, en usuarios y en otras partes interesadas
Para los servicios que deben ser retirados, la planificación debe incluir además la fecha o fechas para la retirada de los servicios y las actividades de archivo, eliminación o transferencia de datos de información documentada y de componentes de servicios.
Para los servicios que deben ser transferidos, la planificación debe incluir además la fecha o fechas para la transferencia de los servicios y las actividades para la transferencia de datos, de información documentada, de conocimiento y de componentes de servicios.
Los CI afectados por los servicios nuevos o modificados deben gestionarse mediante la gestión de la configuración.
8.5.2.2 Diseño.
Los servicios nuevos o modificados deben diseñarse y documentarse para cumplir con los requisitos de servicio determinados en el apartado 8.2.2. El diseño debe incluir los elementos relevantes de entre los siguientes:
- Las autoridades y responsabilidades de las partes involucradas en la prestación de los servicios nuevos o modificados.
- Los requisitos para cambios en los recursos humanos, técnicos, de información y financieros.
- Los requisitos para una formación, capacitación y experiencia adecuados.
- Los SLAs nuevos o modificados, contratos y otros acuerdos documentados en los que se apoyan los servicios.
- Cambios que afectan al SGS, incluidas adiciones o cambios en políticas, planes, procesos, procedimientos, medidas y conocimientos.
- El impacto en otros servicios.
- Las actualizaciones del catálogo o catálogos de servicios.
8.5.2.3 Construcción y transición.
Los servicios nuevos o modificados se deben construir y probar para verificar que cumplen con los requisitos de servicio, que se ajustan al diseño documentado y que cumplen con los criterios acordados de aceptación de servicios. Si no se cumplen los criterios de aceptación de servicios, la organización y las partes interesadas deben decidir sobre las acciones necesarias y el despliegue de los servicios.
Se debe utilizar la gestión de entregas y despliegues para desplegar los servicios nuevos o modificados aprobados en el entorno de producción.
Después de la finalización de las actividades de transición, la organización debe informar a las partes interesadas sobre los resultados obtenidos frente a los esperados.
8.5.3 Gestión de entregas y despliegues.
Definir los tipos de entregas, incluida la entrega de emergencia, su frecuencia y la forma en que se gestionan.
Planificar el despliegue de servicios nuevos o modificados y componentes de servicios en el entorno de producción. La planificación debe estar coordinada con la gestión de cambios e incluir referencias a las peticiones de cambio relacionadas, errores conocidos o problemas que se resuelven mediante de la entrega. La planificación debe incluir las fechas para el despliegue de cada entrega, los entregables y los métodos de despliegue.
La entrega debe ser verificada frente a los criterios de aceptación documentados y aprobada antes del despliegue. Si los criterios de aceptación no se cumplen, la organización y las partes interesadas deben decidir sobre las acciones necesarias y el despliegue.
Se debe capturar una línea base de configuración de los CI afectados antes del despliegue de una entrega en el entorno de producción.
La entrega se debe desplegar en el entorno de producción de manera que se mantenga la integridad de los servicios y los componentes de servicios.
El éxito o el fallo de las entregas se debe monitorizar y analizar. Las medidas deben incluir las incidencias relacionadas con una entrega en el período posterior al despliegue de dicha entrega. Los resultados y conclusiones extraídos de los análisis se deben registrar y revisar para identificar oportunidades de mejora.
La información sobre el éxito o el fallo de las entregas y las fechas de futuras entregas deben estar disponibles para otras actividades de gestión de servicios, según corresponda.