Para implantar la norma ISO 33000 es recomendable seguir un proceso compuesto por 3 fases, tal y como muestra la siguiente figura. Si bien lo importante es la implantación, este proceso además permitiría obtener como extra una certificación de conformidad con ISO/IEC 33000, mejorando así la competitividad de la organización.
Evaluación de la situación inicial respecto a ISO 33000
El primer paso es obtener una visión detallada de la organización respecto al modelo ISO 33000. Para ello se debe realizar una evaluación de los procesos del ciclo de vida de desarrollo software de la organización respecto a los requisitos establecidos en el modelo ISO 33000.
En esta evaluación inicial se estudiará la documentación sobre los procesos de la organización y cómo se aplican estos en varios proyectos de muestra, revisando las evidencias de productos de trabajo, documentos y artefactos generados durante su realización. Como resultado de la evaluación inicial se deberá identificar el "gap" existente entre los procesos de la organización y lo establecido en el modelo ISO 33000, y se deberán identificar y definir las acciones de mejora necesarias para solucionar las carencias detectadas.
Implantación de mejoras en procesos conforme a ISO 33000
El segundo paso consistirá en implantar las mejoras definidas en el paso anterior. Para ello, se realizarán las adaptaciones necesarias sobre los procesos del ciclo de vida de desarrollo software, y se implantarán los procesos ausentes en la organización.
Se deberán considerar las actividades de cada proceso, los roles que deberán participar, las herramientas y recursos necesarios para realizarlas, así como los productos y artefactos de entrada y resultantes de su realización. Se recomienda seguir un enfoque incremental en esta implantación, comenzando con un proyecto piloto sobre el que experimentar las mejoras definidas, para posteriormente institucionalizar estas mejoras como forma general de trabajar en la organización. Una vez se considere que la organización ha institucionalizado la forma de trabajar de acuerdo al modelo ISO 33000 es recomendable realizar una auditoría interna para afrontar con mayores garantías el proceso de certificación.
Certificación en ISO 33000
El tercer paso consistirá en pasar el proceso de certificación llevado a cabo por una entidad certificadora. Este proceso consiste a su vez de 2 fases de auditoría, en las que se revisa la documentación de la organización, se realizan entrevistas a personal responsable y participante en los procesos de la organización y se revisan las evidencias de los productos y artefactos generados en varios proyectos de desarrollo llevados a cabo, con el objetivo de contrastar que los procesos del ciclo de vida de desarrollo software cumplen con los requisitos establecidos en el modelo ISO 33000.
Si el resultado de la auditoría es positivo, la entidad certificadora otorgará a la organización el certificado de conformidad con ISO 33000. Posteriormente, como es habitual en la certificación de normas ISO se deberá participar en auditorías de seguimiento con periodo anual. En las auditorías de seguimiento la entidad certificador comprueba que se mantienen los procesos establecidos. Con un periodo trienal se realiza una auditoría de renovación, con el fin de renovar la certificación anterior u optar por algún nivel superior.
Soporte a la implantación ISO 33000
Para la realización de los pasos 1 y 2 las organizaciones pueden contar con el soporte de empresas expertas en la implantación de ISO 33000, como AQCLab, que sirvan como guía en la evaluación inicial de "gap" y la definición del plan de mejora, y que proporcionen supervisión y consejo en la implantación de las mejoras.
Para la obtención del certificado las organizaciones pueden contar con entidades de certificación como AENOR.