¿ISO/IEC 9000, 15504, 12207, 27001 o 20000?

Sin duda uno de los aspectos más complejos hoy del “mundo de la normalización, calidad, gobierno, buenas prácticas, etc. (o como cada uno quiera llamarlo)” es la locura de normas, terminología y siglas que existen (valga de ejemplo el título de este post). Están por un lado las metodologías (agiles o no ágiles), por otro las normas, los modelos, las guías, etc. Por otro lado, las diferentes maneras de evaluar la calidad, que si madurez o capacidad. El ámbito, las que aplican a desarrollo software o a la gestión del servicio. Están también las similitudes y compatibilidades, que si CMMI o ISO, que si los modelos son (o no) compatibles con las metodologías ágiles, etc. En definitiva, todo esto hace que sea realmente complicado introducirse en este mundo, y beneficiarse correctamente del mismo.
En esta línea, uno de los esquemas que más de moda se ha puesto en los últimos años es la aplicación de normas ISO al ámbito de los sistemas de información, donde nos aparece otro conjunto de “números” y normas, donde las que más suenan son ISO 9000, ISO 90003, ISO 15504 SPICE, ISO 12207, ISO 20000 o ISO 27000 (vamos, un lío de números si uno no está familiarizado). Y el objetivo de este post es, de manera similar al de “¿CMMI o ISO 15504?”, aportar un poco de ayuda a clarificar el ámbito y aplicación, en este caso, de las normas ISO que más se aplican al ámbito de los sistemas de información y la tecnología. Ahí va:
– La serie ISO/IEC 9000. Son un conjunto de normas cuyo ámbito es la gestión de la calidad, del conjunto la norma más destacada es la ISO/IEC 9001, que trata los requisitos del sistema de gestión de la calidad. Es una norma de carácter general (aplica a cualquier tipo de organización, tecnológica o no), y por tanto no trata específicamente el ciclo de vida de un sistema de información o los servicios que este presta. Por el carácter generalista de la norma, existe una guía, la ISO/IEC 90003, para aplicar la 9001 al software, pero que sigue siendo muy general.
– La serie ISO/IEC 15504 (también conocida como SPICE). Son un conjunto de normas cuyo ámbito es evaluar y mejorar la capacidad y madurez de los procesos. En principio no es específica para el software, pero se usa normal y principalmente junto con la ISO/IEC 12207 (que contiene buenas prácticas, a nivel procesos, para el desarrollo y mantenimiento software), en la evaluación y mejora de la calidad del proceso de desarrollo y mantenimiento de software. En resumen, y en este contexto, la unión de ambas normas aplica específica y explícitamente al desarrollo – mantenimiento del software.
– La serie ISO/IEC 20000. Son un conjunto de normas cuyo ámbito es la gestión del servicio que ofrecen las tecnologías de la información. La parte 1 de la serie, ISO/IEC 20000-1 es una norma certificable. En resumen, y en este contexto, aplica a la gestión del servicio que da la tecnología, y por tanto más a las áreas de explotación – producción. Si ISO/IEC 15504 – ISO/IEC 12207 aplicaban a la construcción – mantenimiento del software, al desarrollo software, la ISO 20000 aplica a la gestión del servicio que presta el software y la tecnología a los diferentes usuarios, aplica más al entorno de explotación o producción, más a los centros de procesos de datos que a las fábricas o departamentos de desarrollo software.
– La serie ISO/IEC 27000. Son un conjunto de normas cuyo ámbito es la seguridad, buenas prácticas para mantener los Sistemas de Gestión de la Seguridad de la Información (SGSI). Dentro de la serie (del conjunto de normas relacionadas), la ISO/IEC 27001 es certificable, y especifica los requisitos para la implantación del SGSI. En resumen, aplica a la gestión de la seguridad. En muchos casos se ve a ISO/IEC 27000 como una ampliación de uno de los numerosos procesos que trata la ISO 20000, el proceso de seguridad.
Espero que dentro de la complejidad del tema, y de la brevedad de un post, estas notas ayuden a clarificar un campo últimamente tan demandado como confundido. Y como siempre, si alguien tiene algún factor más sería ideal añadirlo a los comentarios del post.
Twitter: http://twitter.com/jgarzas

Javier Garzás

0 comentarios en “¿ISO/IEC 9000, 15504, 12207, 27001 o 20000?”

  1. Muy claro el articulo. Tienes alguna referencia de casos de exito o mejores practicas en la implementación de ISO 20.000 en empresas pequeñas de 20 o menos miembros?
    Saludos
    Joe

  2. Pingback: Cinco elementos clave en una buena externalización del desarrollo software (I/II) | Javier Garzás

  3. Pingback: Las guías del INTECO sobre ISO/IEC 20000 - Javier Garzás

  4. Pingback: Cinco elementos clave en una buena externalización del desarrollo software (II/II) | Javier Garzás

  5. Pingback: Cinco elementos clave en una buena externalización del desarrollo software (II/II) | Javier Garzás

  6. Pingback: El ordenador de Spanair infectado de troyanos y la opinión de los colegios profesionales de informática | Javier Garzás

  7. Excelente tu articulo, felicitaciones por tu blog, esta muy completo e interesante. Gracias por compartirlo. Éxitos, saludos desde Perú.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba