¿ISO/IEC 9000, 15504, 12207, 27001 o 20000?

Archivado en calidad, certificaciones, ISO 12207, iso 15504, ISO 20000, ISO 27001, ISO 9000 en May.09, 2010 por jgarzas

Sin duda uno de los aspectos más complejos hoy del “mundo de la normalización, calidad, gobierno, buenas prácticas, etc. (o como cada uno quiera llamarlo)” es la locura de normas, terminología y siglas que existen (valga de ejemplo el título de este post). Están por un lado las metodologías (agiles o no ágiles), por otro las normas, los modelos, las guías, etc. Por otro lado, las diferentes maneras de evaluar la calidad, que si madurez o capacidad. El ámbito, las que aplican a desarrollo software o a la gestión del servicio. Están también las similitudes y compatibilidades, que si CMMI o ISO, que si los modelos son (o no) compatibles con las metodologías ágiles, etc. En definitiva, todo esto hace que sea realmente complicado introducirse en este mundo, y beneficiarse correctamente del mismo.

En esta línea, uno de los esquemas que más de moda se ha puesto en los últimos años es la aplicación de normas ISO al ámbito de los sistemas de información, donde nos aparece otro conjunto de “números” y normas, donde las que más suenan son ISO 9000, ISO 90003, ISO 15504 SPICE, ISO 12207, ISO 20000 o ISO 27000 (vamos, un lío de números si uno no está familiarizado). Y el objetivo de este post es, de manera similar al de “¿CMMI o ISO 15504?”, aportar un poco de ayuda a clarificar el ámbito y aplicación, en este caso, de las normas ISO que más se aplican al ámbito de los sistemas de información y la tecnología. Ahí va:

- La serie ISO/IEC 9000. Son un conjunto de normas cuyo ámbito es la gestión de la calidad, del conjunto la norma más destacada es la ISO/IEC 9001, que trata los requisitos del sistema de gestión de la calidad. Es una norma de carácter general (aplica a cualquier tipo de organización, tecnológica o no), y por tanto no trata específicamente el ciclo de vida de un sistema de información o los servicios que este presta. Por el carácter generalista de la norma, existe una guía, la ISO/IEC 90003, para aplicar la 9001 al software, pero que sigue siendo muy general.

- La serie ISO/IEC 15504 (también conocida como SPICE). Son un conjunto de normas cuyo ámbito es evaluar y mejorar la capacidad y madurez de los procesos. En principio no es específica para el software, pero se usa normal y principalmente junto con la ISO/IEC 12207 (que contiene buenas prácticas, a nivel procesos, para el desarrollo y mantenimiento software), en la evaluación y mejora de la calidad del proceso de desarrollo y mantenimiento de software. En resumen, y en este contexto, la unión de ambas normas aplica específica y explícitamente al desarrollo – mantenimiento del software.

- La serie ISO/IEC 20000. Son un conjunto de normas cuyo ámbito es la gestión del servicio que ofrecen las tecnologías de la información. La parte 1 de la serie, ISO/IEC 20000-1 es una norma certificable. En resumen, y en este contexto, aplica a la gestión del servicio que da la tecnología, y por tanto más a las áreas de explotación – producción. Si ISO/IEC 15504 – ISO/IEC 12207 aplicaban a la construcción – mantenimiento del software, al desarrollo software, la ISO 20000 aplica a la gestión del servicio que presta el software y la tecnología a los diferentes usuarios, aplica más al entorno de explotación o producción, más a los centros de procesos de datos que a las fábricas o departamentos de desarrollo software.

- La serie ISO/IEC 27000. Son un conjunto de normas cuyo ámbito es la seguridad, buenas prácticas para mantener los Sistemas de Gestión de la Seguridad de la Información (SGSI). Dentro de la serie (del conjunto de normas relacionadas), la ISO/IEC 27001 es certificable, y especifica los requisitos para la implantación del SGSI. En resumen, aplica a la gestión de la seguridad. En muchos casos se ve a ISO/IEC 27000 como una ampliación de uno de los numerosos procesos que trata la ISO 20000, el proceso de seguridad.

Espero que dentro de la complejidad del tema, y de la brevedad de un post, estas notas ayuden a clarificar un campo últimamente tan demandado como confundido. Y como siempre, si alguien tiene algún factor más sería ideal añadirlo a los comentarios del post.

Twitter: http://twitter.com/jgarzas

Otras entradas relacionadas con esta:

10 Comments

El 09.05.2010 22:24, joe dijo:

Muy claro el articulo. Tienes alguna referencia de casos de exito o mejores practicas en la implementación de ISO 20.000 en empresas pequeñas de 20 o menos miembros?

Saludos

Joe

VA:F [1.9.11_1134]
Rating: 0 (from 0 votes)

[Responder]
El 10.05.2010 00:13, jgarzas dijo:

Hola Joe,

En pequeñas empresas hay numerosas implantaciones de la 20000, sobre todo desde que desde hace unos años el plan avanza da ayudas a pequeñas empresas para certificarse en 20000

Aqui http://www.20000pyme.com/a20KPyme/web/es/manual/index.jsp puedes encontrar un manual de implantación de ISO 2000 en Pymes

Saludos

VN:F [1.9.11_1134]
Rating: 0 (from 0 votes)

[Responder]
El 23.05.2010 20:31, Cinco elementos clave en una buena externalización del desarrollo software (I/II) | Javier Garzás dijo:

[...] que nos pueden servir de base y de las que podemos extraer buenas prácticas, como la ISO 20000, otras que contemplan la externalización en alguno de sus procesos, como la norma ISO/IEC 12207 o [...]

[Responder]
El 29.06.2010 00:12, Las guías del INTECO sobre ISO/IEC 20000 - Javier Garzás dijo:

[...] (si, como lógico y fácil, alguien se lía con tanta ISO y tanto número recomiendo leer antes ¿ISO/IEC 9000, 15504, 12207, 27001 o 20000?) que ofrecen las tecnologías de la información y que por tanto aplica principalmente a las áreas [...]

[Responder]
El 28.07.2010 17:04, Josefina dijo:

tienen info de casos de exito de la aplciacion de ISO90003 en micro empresas?? digo empresas de 2 a 10 personas…gracias.

VA:F [1.9.11_1134]
Rating: 0 (from 0 votes)

[Responder]
El 19.08.2010 19:00, Cinco elementos clave en una buena externalización del desarrollo software (II/II) | Javier Garzás dijo:

[...] software, normalmente el cumplimiento de modelos como CMMI o ISO 15504 (y que pueden acompañarse de muchas otras certificaciones). En este punto es bastante recomendable saber el nivel de madurez de la organización que en un [...]

[Responder]
El 19.08.2010 19:00, Cinco elementos clave en una buena externalización del desarrollo software (II/II) | Javier Garzás dijo:

[...] software, normalmente el cumplimiento de modelos como CMMI o ISO 15504 (y que pueden acompañarse de muchas otras certificaciones). En este punto es bastante recomendable saber el nivel de madurez de la organización que en un [...]

[Responder]
El 22.08.2010 22:00, El ordenador de Spanair infectado de troyanos y la opinión de los colegios profesionales de informática | Javier Garzás dijo:

[...] no tuviera alguna certificación en normas de seguridad en los sistemas de información, una ISO 27001 por ejemplo. Y si la tienen ¿Qué falla? ¿se auditan los sistemas de gestión de la seguridad [...]

[Responder]
El 16.10.2010 13:37, RAUL dijo:

CHAPÓ!!!

Según mi modesta opinión, muy pocas veces se consigue decir tanto, tan claro y con tan pocas palabras.

mi felicitación

VA:F [1.9.11_1134]
Rating: 0 (from 0 votes)

[Responder]
El 16.10.2010 13:39, jgarzas dijo:

@RAUL: gracias

VN:F [1.9.11_1134]
Rating: 0 (from 0 votes)

[Responder]