accesskey_mod_content

Les especificacions UNEIX com a complement de les normes ISO per al govern, gestió i qualitat dels Sistemes i Tecnologies de la Informació

  • Escoltar
  • Imprimir PDF
  • Compartir

02 abril 2024

Davant la proliferació d'estàndards relacionats amb les TIC, publiquem aquest article posant el focus en dos d'ells: l'ISO 20000 (gestió del servei) i l'ISO 27000 (seguretat i privadesa de la informació) establint la relació entre aquests i les especificacions UNEIX.

L'estandardització és fonamental per millorar l'eficiència i la interoperabilitat al govern i la gestió de dades. La adopció d'estàndards proporciona un marc comú per organitzar, intercanviar i interpretar les dades, facilitant la col·laboració i garantint la consistència i qualitat dels mateixos. Els estàndards ISO, elaborats a nivell internacional i les normes UNEIX, desenvolupades específicament per al mercat espanyol, són àmpliament reconeguts en aquest àmbit. Tots dos catàlegs de bones pràctiques, encara que comparteixen objectius similars, difereixen en el seu abast geogràfic i enfocament de desenvolupament, permetent a les organitzacions seleccionar les normes més adequades per a les seves necessitats i context específic.

Davant la publicació, fa uns mesos, de les  especificacions UNEIX 0077, 0078, 0079, 0080, i 0081 sobre govern, gestió, qualitat, maduresa, i avaluació de qualitat de dades , els usuaris poden tenir dubtes sobre com es relacionen aquestes i les normes ISO que ja tenen implementades en la seva organització. 

Normas ISO més habituals relacionades amb la dada

Els estàndards ISO té el gran avantatge de ser oberts, dinàmics i agnòstics a les tecnologies subjacents. De la mateixa manera, s'encarreguen de conjuminar les millors pràctiques consensuades i decidides per diferents grups de professionals i investigadors en cadascun dels camps d'actuació. Si posem el focus en els estàndards relacionats amb les TIC, ja existeix un marc d'estàndards sobre govern, gestió i qualitat dels sistemes d'informació on destaquen, entre unes altres:

  • A nivell de govern:
  1. ISO 38500  per al govern de TU.
  • A nivell de gestió:
  1. ISO 8000  per a sistemes de gestió de dades i dades mestres.
  2. ISO 20000  per a la gestió dels serveis.
  3. ISO 25000  per a la qualitat del producte generat (tant programari com a dades).
  4. ISO 27000  i  ISO 27701  per a la gestió de la seguretat i privadesa de la informació.
  5. ISO 33000  per a l'avaluació de processos.jkkl0ñ-.

A aquests estàndards cal sumar uns altres que també són d'ús habitual en les empreses com:

  • Sistema de gestió de qualitat basat en ISO 9000
  • Sistema de gestió mediambiental proposat en ISO 14000

Aquestes normes  s'usen des de fa anys per al govern i gestió de les TIC  i tenen el gran avantatge que, en basar-se en els mateixos principis, poden  usar-se perfectament de manera conjunta . Així, per exemple, és molt útil reforçar mútuament la seguretat dels sistemes d'informació basats en la família de normes ISO/IEC 27000 amb la  gestió de serveis basats en la família de normes ISO/IEC 20000 .

La relació entre les normes ISO i les especificacions UNEIX sobre la dada

Les especificacions UNEIX 0077, 0078, 0079, 0080 i 0081 complementen les normes ISO existents sobre govern, gestió i qualitat de dades en proporcionar directrius específiques i detallades que s'enfoquen en els aspectes particulars de l'entorn espanyol i les necessitats del mercat nacional.

Quan es van plantejar les especificacions UNEIX 0077, 0078, 0079, 0080, i 0081, es van basar en els principals estàndards ISO, amb la finalitat de integrar-se fàcilment en els sistemes de gestió ja disponibles en les organitzacions (esmentats anteriorment), com pot veure's en la següent figura:

Figura 1. Relació de les especificacions UNEIX amb els diferents estàndards ISO per a les TIC

Exemple d'aplicació de la norma UNEIX 0078

A continuació, es presenta un exemple per veure com s'integren d'una forma més clara les normes UNEIX i les ISO que moltes organitzacions ja tenen implantades des de fa anys, prenent com a referència la UNEIX 0078. Encara que totes les especificacions UNEIX de la dada es troben entrellaçades amb la majoria de les normes ISO de govern, gestió i qualitat de TU, l'especificació UNEIX 0078 de gestió de dades està més relacionada amb els sistemes de gestió de seguretat de la informació (ISO 27000) i gestió dels serveis de TU (ISO 20000). En la Taula 1 es pot veure la relació per a cada procés amb cada estàndard ISO.

Procés UNEIX 0078: Gestió de Dades 

Relacionat amb ISO 20000 

Relacionat amb ISO 27000 

‍(ProcDat) Processament de la dada 

 

 

(InfrTec) Gestió de la infraestructura tecnològica 

X

X

(ReqDat) Gestió de requisits de la dada

X

X

(ConfDat) Gestió de la configuració de la dada 

 

 

‍(DatHist) Gestió de dades històric

X

(SegDat) Gestió de la seguretat de la dada

X

X

‍(Metdat) Gestió de la metadada

 

X

‍(ArqDat) Gestió de l'arquitectura i disseny de la metadada 

 

X

‍(CIIDat) Compartición, intermediació i integració de la dada

X

 

‍(MDM) Gestió de la dada mestra

 

‍(RH) Gestió de recursos humans

 

 

‍(CVidDat) Gestió del cicle de vida de la dada 

X

 

‍D(AnaDat) Anàlisi de la dada esigualdad

 

 

 

Relació de la norma UNEIX 0078 amb ISO 20000

Quant a la interrelació ISO 20000-1 amb l'especificació UNEIX 0078 a continuació es presenta un cas d'ús en el qual una organització vol posar a disposició dades rellevants per al seu consum en tota l'organització a través de diferents serveis. La implementació integrada d'UNEIX 0078 i ISO 20000-1 permet a les organitzacions:

  • Assegurar que les dades crítiques per al negoci són gestionats i protegits adequadament.
  • Millorar l'eficiència i efectivitat dels serveis de TU, assegurant que la infraestructura tecnològica recolza les necessitats del negoci i dels usuaris finals
  • Alinear la gestió de dades i la gestió de serveis de TU amb els objectius estratègics de l'organització, millorant la presa de decisions i la competitivitat al mercat

La relació entre ambdues es manifesta en com la infraestructura tecnològica gestionada segons la UNEIX 0078 suporta l'entrega i gestió de serveis de TU conforme a ISO 20000-1.

Per a això, és necessari explicar, almenys, amb:

  1. En primer lloc, per al cas de posada a la disposició de dades com un servei, és necessari comptar amb una infraestructura de TU ben gestionada i segura/segura. Això és essencial, d'una banda, per a la implementació efectiva de processos de gestió de serveis de TU, com els incidents i problemes, i per un altre, per assegurar la continuïtat del negoci i la disponibilitat dels serveis de TU.
  2. En segon lloc, una vegada es disposa de la infraestructura, i s'és conscient que la dada va a ser disposat per al seu consum en algun moment, és necessari gestionar els principis de compartició i intermediació d'aquesta dada. Per a això, en l'especificació UNEIX 0078, es compta amb el procés de Compartició, intermediació i integració de la dada. El seu principal objectiu és habilitar la seva adquisició i/o entrega per al seu consum o compartició, observant si fos necessari el desplegament de mecanismes d'intermediació, així com la integració del mateix. Aquest procés de la UNEIX 0078 estaria relacionat amb varis dels plantejats en ISO 20000-1, tals com el procés de Gestió de relacions amb el negoci, gestió de nivells de servei, la gestió de la demanda i la gestió de la capacitat de les dades que són posats a disposició.

Relació de la norma UNEIX 0078 amb ISO 27000

Així mateix, la infraestructura tecnològica creada i gestionada per a un objectiu específic ha d'assegurar uns mínims en matèria de seguretat i privadesa de dades, per tant, serà necessària la implantació de bones pràctiques incloses en ISO 27000 i ISO 27701 per gestionar la infraestructura des de la perspectiva de la seguretat i privadesa de la informació, mostrant així un clar exemple d'interrelació entre els tres sistemes de gestió: serveis, seguretat i privadesa de la informació, i dades.

No solament és primordial que la dada sigui lloc al servei de les organitzacions i ciutadans d'una forma òptima, sinó que és necessari a més prestar especial atenció a la seguretat de la dada al llarg de tot el seu cicle de vida durant la posada en servei. És en aquest punt on l'estàndard ISO 27000 aporta tot el seu valor. L'estàndard ISO 27000, i en particular ISO 27001 compleix els següents objectius:

  • Especifica els requisits per a un sistema de gestió de seguretat de la informació (SGSI).
  • Se centra en la protecció de la informació contra accessos no autoritzats, la integritat de les dades i la confidencialitat.
  • Ajuda a les organitzacions a identificar, avaluar i gestionar els riscos de seguretat de la informació.

En aquesta línia, la seva interrelació amb l'especificació UNEIX 0078 de Gestió de Dades ve marcada a través del procés de Gestió de seguretat de la dada. A través de l'aplicació dels diferents mecanismes de seguretat, es comprova que la informació manejada en els sistemes no té accessos no autoritzats, mantenint la seva integritat i confidencialitat al llarg de tot el cicle de vida de la dada. De la mateixa manera, es pot construir una terna en aquesta relació amb el procés de gestió de seguretat de dades de l'especificació UNEIX 0078 i amb el procés d'UNEIX 20000-1 d'Operació SGSTI- Gestió de Seguretat de la Informació.

A continuació, en la Figura 2 es presenta com l'especificació UNEIX 0078 complementa a les actuals ISO 20000 i ISO 27000 aplicat a l'exemple comentat anteriorment.

Figura 2. Relació de processos UNEIX 0078 amb ISO 20000 i ISO 27000 aplicats al cas de compartició de dades

A través dels casos anteriors es pot albirar que el gran avantatge de l'especificació UNEIX 0078 és que s'integren perfectament amb els sistemes de gestió de seguretat i de gestió de serveis existents en les organitzacions. El mateix ocorre amb la resta de les normes UNEIX 0077, 0079, 0080, i 0081. Per tant, si una organització que ja té implantats ISO 20000 o ISO 27000 vol dur a terme iniciatives de govern, gestió i qualitat de dades, es recomana l'alineament entre els diferents sistemes de gestió amb les especificacions UNEIX, ja que es reforcen mútuament des del punt de vista de la seguretat, dels serveis i de les dades.

Font original de la notícia(Obre en nova finestra)

  • Informació i dades del sector públic