Vous êtes sur la page 1sur 98

ADMINISTRACION DE CENTROS

TECNOLOGICOS DE INFORMACION
UTEA-APURIMAC-ABANCAY
E.P. INGENIERIA DE SISTEMAS E INFORMATICA

DOCENTE:
EDUARDO CHAVEZ NOSE

INTEGRANTES:
MILAN ENRIQUE DURAND SEQUEIROS
ALGIRIO NOSE
JORGE LUIS ARIAS NOSE
WILY SEQUEIROS NOSE

Implementacin de la
norma ISO-IEC 27001:2014

Seccin 1: Principios fundamentales


de la
Seguridad de la
Informacin.
Seccin 2: Estndar y Marco
Normativo.
Seccin 3: Implementacin de la
Norma ISO
27001.

Seccin

Principios fundamentales de la
Seguridad de la Informacin

Qu es Seguridad?
El
trmino
seguridad
proviene
de
la
palabra
securitas del latn.
Cotidianamente se puede
referir a la seguridad como la
reduccin
del
riesgo
o
tambin a la confianza en
algo o alguien.
Sin embargo, el trmino
puede
tomar
diversos
sentidos segn el rea o
campo a la que haga
referencia.

Informacin y Activo
Informacin: Datos significativos
Activo: Cualquier bien que tiene
valor para la organizacin

Activo de Informacin
Las organizaciones poseen informacin
que deben proteger frente a riesgos y
amenazas para asegurar el correcto
funcionamiento de su negocio.
Este tipo de informacin imprescindible
para las empresas es lo que se
denomina activo de informacin.

Tipos de Activos de Informacin


Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los
dems activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles

Documento - Registro
Documento: Informacin y su medio
de soporte.
Registro: Documento que indique
los
resultados
obtenidos
o
proporcione
evidencia
de
las
actividades desempeadas.

Seguridad de la Informacin
La seguridad de la informacin es
el conjunto de medidas preventivas y
reactivas de las organizaciones que
permiten resguardar y proteger la
informacin buscando mantener las
dimensiones
(confidencialidad,
disponibilidad e integridad) de la
misma.

Seguridad de la Informacin
Abarca todo tipo de informacin
Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o
electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.

PRINCIPIOS BASICOS DE
SEGURIDAD

La razn bsica de las organizaciones es que en situaciones de rpido


cambio slo aquellas que sean flexibles, adaptables y productivas se
destacarn. Para que esto suceda las organizaciones necesitan
descubrir cmo aprovechar el compromiso de la gente y la capacidad
de aprender en todos los niveles.

Confidencialidad
La confidencialidad es la propiedad
que impide la divulgacin de
informacin a personas o sistemas
no autorizados.
A grandes rasgos, asegura el acceso
a la informacin nicamente a
aquellas personas que cuenten con
la debida autorizacin.

Integridad
Es la propiedad que busca mantener
los datos libres de modificaciones no
autorizadas.
La integridad es mantener con
exactitud la informacin tal cual fue
generada, sin ser manipulada o
alterada por personas o procesos no
autorizados.

Disponibilidad
La disponibilidad es la caracterstica, cualidad
o condicin de la informacin de encontrarse
a disposicin de quienes deben acceder a
ella,
ya
sean
personas,
procesos
o
aplicaciones.
La disponibilidad es el acceso a la
informacin y a los sistemas por personas
autorizadas en el momento que as lo
requieran.

Anlisis de Riesgos
Vulnerabilidad
La debilidad de un activo o de un
control que puede ser explotada por
una o ms amenazas.
Las vulnerabilidades pueden ser
intrnsecas o extrnsecas.

Anlisis de Riesgos Amenazas


Una Amenaza es la posibilidad de
ocurrencia de cualquier tipo de
evento o accin que puede producir
un dao (material o inmaterial) sobre
los Elementos de Informacin.

Anlisis de Riesgos Relacin:


Vulnerabilidad y Amenaza

Impacto
Cambio adverso importante en el nivel
de los objetivos de negocios logrados.

Riesgo para la Seguridad de la


Informacin
Potencialidad de que una amenaza
explote una vulnerabilidad en un
activo o grupo de activos y por lo
tanto causar dao a la organizacin.
Probabili
dad de
Ocurrenci
a

Consecue
ncia
(Impacto)

Riesgo

El Riesgo en funcin del Impacto y la


Probabilidad

zona 1 riesgos muy probables


y de muy alto impacto.
zona 2 franja amarilla: cubre
un
amplio
rango
desde
situaciones improbables y de
impacto
medio,
hasta
situaciones muy probables pero
de impacto bajo o muy bajo.
zona 3 riesgos improbables y
de bajo impacto.
zona 4 riesgos improbables
pero de muy alto impacto.

Objetivo de Control y Control


Objetivo de Control
Declaracin de describir lo que se quiere lograr
como resultado de los controles de aplicacin.
Control
Mtodos para gestionar a riesgo.
Incluye
las
polticas,
procedimientos,
directrices
y
prcticas
o
estructuras
organizativas.
Sinnimo: medida, contra medida, dispositivo
de seguridad.

Tipos de Controles
Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la
informacin.
Hacer que socios y empleados firmen un acuerdo
de confidencialidad.
Establecer y mantener contactos apropiados con
los grupos de especialistas en seguridad de la
informacin.
Contratar slo personal calificado.

Tipos de Controles
Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o
riesgos relacionados con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).

Tipos de Controles
Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la
formacin, concienciacin, pruebas, procedimientos
y actividades de mantenimiento necesarios.
Procedimientos de emergencia, tales como copias
de seguridad peridicas, el almacenamiento en un
lugar seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.

Las Relaciones entre Conceptos


de Gestin de Riesgos

Seccin 2

Estndar y Marco
Normativo

Qu es ISO?
ISO es una red de organismos
nacionales de estandarizacin de
mas de 160 pases.
Los resultados finales de los trabajos
realizados por ISO son publicados
como normas internacionales.
Se han publicado mas de 19,000
normas desde 1947.

QUE ES LA NTP ISO


27001:2014

ISO 27001 es una norma internacional emitida por la Organizacin


Internacional de Normalizacin (ISO) y describe cmo gestionar la
seguridad de la informacin en una empresa. La revisin ms
reciente de esta norma fue publicada en 2014 y ahora su nombre
completo es ISO/IEC 27001:2014.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con
o sin fines de lucro, privada o pblica, pequea o grande. Est redactada
por los mejores especialistas del mundo en el tema y proporciona una
metodologa para implementar la gestin de la seguridad de la informacin
en una organizacin. Tambin permite que una empresa sea certificada;
esto significa que una entidad de certificacin independiente confirma que
la seguridad de la informacin ha sido implementada en esa organizacin
en cumplimiento con la norma ISO 27001.
La NTP ISO 27001:2014 (Norma Tcnica Peruana) es una traduccin de la
NTP 27001, para el Per realizada en el ao 2014. Es la norma validada por
INDECOPI.

NORMATIVIDAD LEGAL A CONSIDERAR


RM N 129-2012-PCM Implementacin Obligatoria de la
NTP ISO IEC/ 27001:2008.
LEY N 29664 Ley que Crea el Sistema Nacional de
Gestin de Desastres (SINAGERD).
Ley 29733, Ley de Proteccin de Datos Personales y su
reglamento, aprobado por Decreto Supremo N 003-2013JUS.
Decreto Supremo N 013-2003-PCM, Dictan medidas para
garantizar la legalidad de la adquisicin de programas de
software en entidades y dependencias del Sector Pblico.
Resolucin Ministerial N 179-2004-PCM, que aprueba el
uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC
12207:2004, Tecnologa de la Informacin, Procesos del
ciclo de vida del software 1 Edicin y modificatoria.

ESTRUCTURA DE LA ISO 27001:2014

Estructura la Seguridad Norma NTP


ISO 27001:2008

Principios Bsicos de las


Normas ISO
1. Representacin igualitaria: 1 voto por
pas

Principios
Bsicos de
las
Normas
ISO

2. Adhesin voluntaria: ISO no tiene la


autoridad
para forzar la adopcin de sus normas
3. Orientacin al negocio: ISO slo
desarrolla normas para las que existe
demanda del mercado
4. Enfoque de consenso: busca un amplio
consenso
entre las distintas partes interesadas
5. Cooperacin internacional: ms de 160
pases
adems de organismos de enlace

Qu son los Sistemas de


Gestin?
Un sistema de gestin es una
estructura probada para la
gestin y mejora continua de las
polticas, los procedimientos y
procesos de la organizacin.
Un sistema de gestin ayuda a
lograr los objetivos de la
organizacin mediante una serie
de estrategias, que incluyen la
optimizacin de procesos, el
enfoque centrado en la gestin y
el pensamiento disciplinado.

Los Sistemas de Gestin se


Integran

CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTA
LISO ISO
14001

SALUD Y
SEGURIDA
D
TRABAJO
OHSAS
18001

SEGURIDA
D DE LA
INFORMACI
ON
ISO 27001

Qu es un SGSI?
Un SGSI (Sistema de Gestin de Seguridad de la
Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin de
un SGSI.
El Sistema de Gestin de la Seguridad de la Informacin
(SGSI) en las empresas ayuda a establecer estas
polticas, procedimientos y controles en relacin a
los objetivos de negocio de la organizacin.
En ingles se conoce con las siglas ISMS (Information
security management system)

Enfoque a Procesos

Ciclo de Deming
El circulo de DEMING se constituye como una
de las principales herramientas para lograr la
mejora continua en las organizaciones o
empresas que desean aplicar a la excelencia
en sistemas de gestion.
El conocido Ciclo Deming o tambin se le
denomina el ciclo PHVA que quiere decir
segn las iniciales (planear, hacer, verificar y
actuar) o ingles PDCA (Plan, Do, Check, Act)

Ciclo de Deming

Vocabula
rio

Familia ISO 27000

Industria

Generalida
des

Requisito
s

ISO 27000
Vocabulario

ISO 27001
Requisitos del
SGSI

ISO 27002
Cdigo
buenas
prticas

ISO 27003
Gua de
Implementa
cin

ISO 27011
Telecomunic
aciones

ISO 27004
Mtricas

ISO 27799
Salud

ISO 27009
Requisitos
organizacin
certificadora

ISO 27005
Gestin de
Riesgos

ISO 2700727008
Guias de
Auditoria

ISO 270XX
Vocabulario

ISO 27001
Especifica los requisitos de
gestin de un SGSI (Clusula
4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de
control y 114 controles
La organizacin puede ser
certificada en esta norma

ISO 27002
Gua para el cdigo de
prcticas para los controles de
la seguridad de la informacin
(Documento de referencia)
Clusulas escritas utilizando el
verbo "debera"
Compuesto de 14 clusulas,
35 objetivos de control y 114
controles
Una organizacin no puede ser
certificada en esta norma
Tambin conocida como ISO
17799

ISO 27003
Gua para el cdigo de
prcticas
para
la
implementacin de un
SGSI
Documento de referencia
para ser utilizado con las
normas ISO 27001 e ISO
27002
Consta de 9 clusulas que
definen 28 etapas para
implementar un SGSI
La certificacin con esta
norma no es posible

Historia de la Norma ISO 27001

Estructura de la Norma ISO 27001

Seccin 3

Implementacin de la Norma ISO 27001

Enfoque a Procesos
La aplicacin del enfoque de proceso
variar de una organizacin a otra en
funcin de su tamao, complejidad y
actividades
A menudo las organizaciones identifican
demasiados procesos
Los procesos se pueden definir como un
grupo lgico de tareas relacionadas entre
s, para alcanzar un objetivo definido.
ENTRADA

PROCESO

SALIDA

Informacin Documentada Ciclo


de Vida de los Documentos

ISO 30301
Informacin y documentacin. Sistemas
de gestin para documentos. Requisitos.
La organizacin puede ser certificada en
esta norma.
La
implantacin
de
un
Sistema
de
Gestin
de
Seguridad de la Informacin
es una decisin estratgica
que debe involucrar a toda la
organizacin y que debe ser
apoyada y dirigida desde la
direccin

Etapas Ciclo de Deming

Iniciando el SGSI
Definicin del enfoque para la aplicacin del
SGSI
Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito

Seleccin de un marco metodolgico


Metodologa para gestionar el proyecto (PMBOK)

Alineacin con las mejores practicas

ISO
ISO
ISO
ISO

27001
27002
27003
27004

Nivel de Madurez
Es
importante
determinar en que
nivel se encuentra la
organizacin, para ello
CMM
muestra
la
madurez
de
una
organizacin
basndose
en
la
capacidad
de
sus
procesos

FASE I Organizacin

Fase I Organizacin
Desarrollar las actividades
principales para la direccin e
inicio de la implantacin del SGSI.
Obtener el apoyo institucional.

Determinar el alcance del Sistema de Gestin de


Seguridad de la Informacin.
Determinar la declaracin de Poltica de Seguridad
de la Informacin y objetivos.
Determinar criterios para la evaluacin y aceptacin
de riesgos.

Obtener el Apoyo Institucional


Existen 4 ejes de apoyo para
sustentar el apoyo institucional,
estos son:
1. Cumplimiento
2. Proteccin de Procesos de
Negocio
3. Disminucin de incidentes
4. Ordenamiento de su negocio

Organizacin de la Seguridad

Comit Gestin
El Comit de Gestin de Seguridad de la Informacin es el
mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:
Informar la situacin Institucional en materia de seguridad de la
informacin.
Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la
Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo,
revisin, mantenimiento y mejora continua del Sistema de Gestin
Seguridad de la Informacin (SGSI).

Comit Tcnico
El Comit Tcnico de Seguridad de la Informacin es un rgano
consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener un
amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:

Proponer mejoras o iniciativas en materia de seguridad de la informacin


al Comit de Gestin o al Oficial de Seguridad de la Informacin en
materia de gestin de riesgos, activos de informacin, procesamiento de
la informacin, mejoras al SGSI, entre otros.
Ser embajadores de seguridad de la informacin para influenciar las
opiniones de una forma positiva y, recoger las necesidades y
expectativas de los trabajadores.
Reunirse peridicamente a fin de analizar y evaluar la seguridad de la
informacin y emitir informes al Comit de Gestin de Seguridad de la
Informacin.
Participar de las reuniones convocadas por el Comit de Gestin de
Seguridad de la Informacin.

Determinar el Alcance del SGSI


Se debe definir en funcin de
caractersticas
del
negocio,
organizacin, localizacin, activos y
tecnologa, definir el alcance y los
lmites del SGSI (el SGSI no tiene por
qu abarcar toda la organizacin; de
hecho, es recomendable empezar por
un alcance limitado).

Determinar el Alcance del SGSI


Definir los limites de la organizacin.
Definir los limites de los sistemas de
informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.
Extensin del mbito de aplicacin.
Cualquier cambio en el alcance debe
ser evaluado, aprobado y documentado.

Determinar la Declaracin de Poltica de


Seguridad de la Informacin y Objetivos
Debe tener el marco general y los objetivos de
seguridad de la informacin de la organizacin
Debe explicar los requisitos de negocio, legales y
contractuales en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo
general, establecer criterios de evaluacin de
riesgo y ser aprobada por la Direccin.
La poltica de seguridad es un documento muy
general, una especie de "declaracin e
intenciones" de la Direccin, por lo que no
pasar de dos o tres pginas.

Tipos de Poltica

Estructura de una Poltica

Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones

Determinar Criterios para la


Evaluacin y Aceptacin de Riesgos
Se debe definir una metodologa de evaluacin
de riesgos apropiada para el SGSI y las
necesidades de la organizacin, desarrollar
criterios de aceptacin de riesgos y determinar
el nivel de riesgo aceptable.
Existen muchas metodologas de evaluacin de
riesgos aceptadas; la organizacin puede optar
por una de ellas, hacer una combinacin de
varias o crear la suya propia.
ISO 27001 no impone ninguna ni da
indicaciones adicionales sobre cmo definirla.

Algunas Metodologas para la


Evaluacin de Riesgos

Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)

Factores en la Seleccin de la
Metodologa
1. Compatibilidad con los criterios de la ISO
27001.
2. Idioma del mtodo.
3. Posibilidad de herramientas de software.
4. Documentacin, formacin, apoyo.
5. Facilidad de uso .
6. Costo de utilizacin.
7. Existencia de material de comparacin
(mtricas, estudios, casos, etc.).

FASE II Planificacin

Desarrollar las actividades de planificacin


requeridas por la norma de manera
metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del
alcance del mismo.

Realizar evaluacin de Riesgos


Conducir un anlisis entre los riesgos
identificados y las medidas correctivas
existentes
Desarrollar un plan de tratamiento de
riesgos
Desarrolla la declaracin de Aplicabilidad

Realizar Evaluacin de Riesgos


Inventario de Activos
Todos aquellos activos de informacin
que tienen algn valor para la
organizacin y que quedan dentro del
alcance del SGSI
Se debe inventariar el nombre activo,
tipo, responsable y ubicacin como
campos mnimos.
Se debe realizar la dependencia de
activos

Realizar Evaluacin de Riesgos


Inventario de Activos

Realizar Evaluacin de Riesgos


Anlisis de Riesgos
Anlisis de los riesgos: evaluar el dao
resultante de un fallo de seguridad (es
decir, que una amenaza explote una
vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel
de riesgo resultante y determinar si el
riesgo es aceptable (en funcin de los
niveles definidos previamente) o
requiere tratamiento.

Realizar Evaluacin de Riesgos


Anlisis de Riesgos

Plan de Tratamiento de Riesgos

Seleccin de Controles y SOA


Confeccionar
una
Declaracin
de
Aplicabilidad: la llamada SOA (Statement
of Applicability) es una lista de todos los
controles seleccionados y la razn de su
seleccin, los controles actualmente
implementados y la justificacin de
cualquier control del Anexo A excluido.
Es, en definitiva, un resumen de las
decisiones
tomadas
en
cuanto
al
tratamiento del riesgo.

Redaccin de la Declaracin de
Aplicabilidad

FASE III Despliegue

Desplegar las actividades de


implementacin del SGSI
Elaborar el plan de trabajo priorizado
Desarrollar documentos y registros
necesarios
Implementar los controles
seleccionados

Plan de Trabajo del SGSI


Un plan de trabajo es un instrumento
de planificacin.
Estructura actividades, responsables,
tiempos, recursos, generalmente se
expresa por medio de un diagrama
de gantt.

Plan de Capacitacin
1. Definir
las
necesidades
de
capacitacin.
2. Diseo
y
planificacin
de
la
capacitacin.
3. Provisin de la capacitacin.
4. Evaluacin de los resultados de la
capacitacin.

Plan de Capacitacin

Plan de Capacitacin
La gran diferencia entre la formacin y la
concientizacin es que la capacitacin
tiene
por
objeto
proporcionar
los
conocimientos para permitir que la
persona ejerza sus funciones mientras
que el objetivo de concientizar es centrar
la atencin en un inters individual o una
serie de asuntos sobre la seguridad.

Plan de Comunicacin
1. Determinar qu queremos conseguir, cules son
nuestros objetivos.
2. Decidir a quin vamos a dirigir nuestra
comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos
(cunto).
5. Seleccionar los medios apropiados y su
frecuencia de utilizacin.
6. Ejecutar el plan de medios y medir su impacto.

Plan de Comunicacin Partes


Interesadas

Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores

El compromiso con las partes interesadas constituye


una oportunidad para que una organizacin pueda
conocer sus problemas e inquietudes; puede llevar a
que el conocimiento sea adquirido por ambos lados y
pueden influir en las opiniones y percepciones.

Controles de la ISO 17799 ahora


27002

FASE IV Revisin 82

Realizar actividades de revisin del


SGSI evidenciando el cumplimiento
de los requisitos de la norma.

Monitorear el desempeo del SGSI


Fortalecer la gestin de incidentes
Desarrollar documentos y registros
necesarios
Desarrollar las actividades para
evidenciar la mejora continua

Monitoreo Determinar los


Objetivos de la Medicin
La norma no indica lo que debe ser
objeto de supervisin o medicin.
Corresponde a la empresa determinar
qu es lo que necesita ser controlado y
medido.
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin.
Demasiadas
medidas
pueden
distorsionar
el
enfoque
de
una
organizacin y desenfocar lo que es
verdaderamente importante.

Monitoreo Objetivos de la
Medicin
Los objetivos de la medicin en el marco de un
sistema de gestin incluyen:
Evaluacin de la eficacia de los procesos y
procedimientos implementados;
Verificacin de la medida en que los requisitos
identificados de la norma se han cumplido.
Facilitar la mejora del rendimiento;
Aportar para la revisin de la gestin para facilitar
la toma de decisiones y justificar las mejoras que
necesita el sistema de gestin implementado.

Monitoreo Tableros de Mando

Gestin de Incidentes
1. Asegurarse de que los eventos de seguridad son
detectados e identificados.
2. Educar a los usuarios acerca de los factores de riesgo
que podran causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma ms
adecuada y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la
organizacin.

FASE V Consolidacin

Auditar e implementar las mejoras y


correcciones del SGSI a fin de cumplir
con los requisitos de la norma.
Auditar internamente el SGSI
Implementar las acciones correctivas
Implementar las acciones
preventivas pertinentes
Desarrollar, corregir y mejorar
documentacin nueva o existente

Auditoria Interna
1. Crear el programa de auditora interna
2. Designar al responsable.
3. Establecer la independencia, objetividad
e imparcialidad.
4. Planificacin de las actividades.
5. Asignar y administrar los recursos del
programa de auditora.
6. Crear procedimientos de auditora.
7. Realizar actividades de auditora.
8. Seguimiento de no conformidades.

Tratamiento de Problemas y no
Conformidades
Definir un proceso para resolver
problemas y no conformidades.
Definir un procedimiento de accin
correctiva.
Definir un procedimiento de accin
preventiva.
Elaborar Planes de Accin.

FASE VI Certificacin

Definiciones de la Certificacin
Organismo de Certificacin:
Terceros que realizan la evaluacin de
la conformidad de los sistemas de
gestin.
Certificacin: Procedimiento en el
cual un tercero garantiza por escrito
que un producto, proceso o servicio
es conforme a las condiciones
indicadas

Proceso de Certificacin
1. Seleccin de la entidad certificadora.
2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el
diseo del SGSI.
4. Etapa 2 de la auditoria, se lleva a cabo
en la empresa.
5. Auditoria de seguimiento, si tuviera no
conformidades.
6. Confirmacin de la inscripcin.

Preguntas

SI NO HAY PREGUNTAS, GRACIAS POR SU


ATENCION
NO INSISTA ATENTAMENTE LA DIRECCION