: Procesos Catalizadores BAI06 Prácticas, Entradas/Salidas y Actividades del Proceso Práctica de Gestión
Entradas
BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio. Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados.
De
Descripción
Salidas Descripción
A
BAI03.05
Componentes de la solución integrados y configurados
Evaluaciones de impacto
Internal
DSS02.03
Peticiones de servicio aprobadas
Peticiones de cambio aprobadas
BAI07.01
DSS03.03
Soluciones propuestas para errores conocidos
DSS03.05
Soluciones sostenibles identificadas
Plan de cambio y cronograma
BAI07.01
DSS04.08
Cambios aprobados a los planes
DSS06.01
Análisis de causas raíz y recomendaciones Actividades
1. Utilizar peticiones de cambio formales para posibilitar que los propietarios de procesos de negocio y TI soliciten cambios en procesos de negocio, infraestructura, sistemas o aplicaciones. Asegurar que todos estos cambios surgen solo a través del proceso de gestión de las peticiones de cambio.
Construir, adquirir e implementar
2. Categorizar todas las peticiones de cambio (ej. procesos de negocio, infraestructura, sistemas operativos, redes, sistemas de aplicación, software externo adquirido) y relacionarlas con los elementos de configuración afectados. 3. Priorizar todas las peticiones de cambio sobre la base de los requisitos técnicos y de negocio, recursos necesarios, así como las razones contractuales, legales o de regulación que motivan el cambio. 4. Planificar y evaluar todas las peticiones de una manera estructurada. Incluir un análisis de impacto sobre los procesos de negocio, infraestructura, sistemas y aplicaciones, planes de continuidad de negocio (BCPs) y proveedores de servicios para asegurar que todos los componentes afectados han sido debidamente identificados. Evaluar la probabilidad de que afecten negativamente el entorno operativo y el riesgo de implementar el cambio. Considerar las implicaciones de seguridad, legales, contractuales, y de cumplimiento normativo del cambio solicitado. Considerar además todas las inter-dependencias entre cambios. Involucrar a los propietarios de procesos de negocio en el proceso de evaluación, de forma apropiada. 5. Aprobar formalmente cada cambio por parte de los propietarios de los procesos de negocio, gestores de servicio, partes interesadas de los departamentos de TI, según sea apropiado. Los cambios relativamente frecuentes con niveles de riesgo bajo deberían ser pre-aprobados como cambios estándar. 6. Planificar y programar todos los cambios aprobados. 7. Considerar el impacto en los proveedores de servicios contratados (ej. procesamiento de negocio externalizado, infraestructuras, desarrollo de aplicaciones y servicios compartidos) en el proceso de gestión del cambio, incluyendo la integración de la gestión de cambios organizativos con los procesos de gestión de cambios de los proveedores de servicios y el impacto en términos contractuales y ANSs. Práctica de Gestión
Entradas
BAI06.02 Gestionar cambios de emergencia. Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. Verificar que los cambios de emergencia son evaluados debidamente y autorizados una vez hecho el cambio.
De
Descripción
Salidas Descripción Revisión de cambios de emergencia tras su implementación
A Interno
Activities 1. Asegurar que hay un procedimiento documentado para declarar, evaluar, aprobar de formar preliminar, autorizar una vez hecho el cambio y registrar el cambio de emergencia. 2. Verificar que los accesos de emergencia acordados para realizar los cambios están debidamente autorizados y documentos y son revocados una vez se ha aplicado el cambio. 3. Supervisar todos los cambios de emergencia y realizar revisiones post-implantación involucrando a todas las partes interesadas. La revisión debería considerar e iniciar acciones correctivas basadas en causas raíz tales como problemas en los procesos de negocio, desarrollo y mantenimiento de sistemas de aplicación, entornos de desarrollo y pruebas, documentación y manuales e integridad de datos. 4. Definir qué constituye un cambio de emergencia.
150
Personal Copy of: Ing. MARIO BERNABE RON