Sistema de Gestión Integral Con G PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301 20000, COBIT, BS 25999 / ISO 22301

Sistema deGestin Integralcon
g
PAS99,ISO9001,ISO27001,ISO
20000 COBIT BS 25999 / ISO 22301
20000,COBIT,BS25999/ISO22301
O t b 2011
October2011
Mario Urea Cuate

MarioUreaCuate
CISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001
Agenda
Introduccin
SistemadeGestinIntegral
ElementoscomunesdelosSistemasde
l
d l Si
d
Gestin
AuditorayCertificacin
Conclusiones
Introduccin
Fuente: ISACA Global Status Report 2008
2008
Introduccin
Fuente: ISACA Global Status Report 2011.

2011
2011
Introduccin
Fuente: ISACA Global Status Report 2011.

2011
Introduccin
Fuente: SecureInformationTechnologies
g
Estudio de Percepcin
p
en
SI 2011
http://www.slideshare.net/mariourena
Introduccin
Estndares originados por BSI (British Standards Institution):
1979
BS 5750
ISO 9001 (Calidad)
1992
BS 7750
ISO 14001 (Medioambiente)
1995
BS 7799
ISO/IEC 27001 (Seguridad de la Informacin)
1996
BS 8800
OHSAS 18001 (Salud Ocupacional y Seguridad)
2000
BS 8600
ISO 10002 (Satisfaccin de Clientes)
2002
BS 15000
SO/ C 20000 (Servicios

(S
de TI))
ISO/IEC
2007
BS 25999
ISO/IEC 22301 (Continuidad del Negocio)
2008
BS 25777
ISO/IEC 27031 (Continuidad de las TIC)
2009
BS 10012
(Proteccin de Datos Personales)
Introduccin
Riesgo
Reducir interrupciones atravs deuna efectiva gestin
deriesgo
Sustentabilidad
Crearvaloratravsdeprcticassustentables
Desempeo
Crear ventaja
C
t j competitiva
titi atravs
t delamejora
d l
j
enell
desempeo
Motivadores
Gobierno
corporativo
ValIT
ISO31000
COSO
COBIT/ISO38500
CMMI
Estndaresy
mejores prcticas
mejoresprcticas
SSECMM
PA
AS99
GobiernodeTI
Procesosy
procedimientos
Cumplimiento
Metasdelnegocio
Balanced
Scorecard
LFPDPPP,SOX,
BASILEAII,
PCI.
Procedimientos
dedesarrolloy
mantenimiento
ISO27005
ISO9001
SGC
Procedimientos
decalidad
ISO20000
SGSTI
ITIL
ISO27001
ISO
27001
SGSI
Principios
Principios
deSeguridad
(OECD)
BS25999/
ISO22301/
ISO 27031
ISO27031
SGCN
BS10012
SGIP
DRII
Practicas
Practicas
deproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
PM
MBOK/PRIN
NCE2
Desempeo
Sistema de Gestin Integral

Sistema de gestin que integra todos los
sistemas y procesos de una organizacin en un
nico marco de referencia,
referencia permitiendo a la
organizacin trabajar como una unidad con
objetivos unificados.
unificados

Beneficios:
Enfoque de negocio mejorado
Enfoque holstico para gestionar riesgos
Menor conflicto entre sistemas
R d i duplicacin
Reducir
d li i y burocracia
b
i
Auditoras mas eficientes y efectivas tanto
i t
internas
como externas
t

Quien puede implementarlo?
El Sistema de Gestin Integrado es relevante para
cualquier organizacin, independientemente de
su tamao o sector en el que opera,
opera que busque
integrar dos o ms de sus sistemas en uno solo
con un conjunto holstico de documentacin,
polticas, procedimientos y procesos.
Basado en PDCA

La organizacin pregunta:
Nosotros no tenemos procesos, aqu
t b j
trabajamos
por funciones
f i
P d
Puedo
implementar un Sistema de Gestin?

Debo tener todo documentado en
un mismo
i
M
Manual
l de
d Sistema
Si t
d
de
Gestin Integral?



El Manual del Sistema de Gestin
NO es un requisito
q
comn.
Manualdel
Si t
Sistemade
d
Gestin
Integral

Es mandatorio tener un comit para
cada Sistema de Gestin? Ejemplo:
uno para 9000, otro para Seguridad,
etc ?
etc.

Puedo tener una sola declaracin
d aplicabilidad
de
li bilid d (SoA)
(S A) para ell Sistema
Si t
de Gestin Integral?

La Declaracin de Aplicabilidad
NO es un requisito
q
comn.
Declaracin
de
Aplicabilidad
(SoA)


Culeselestndarque
C
l
l t d
establece los requisitos
establecelosrequisitos
del Sistema de Gestin
delSistemadeGestin
Integral?
ElementoscomunesdelosSG
Lespresento:PAS99
Elementos comunes de los SG

ISO Guide 72:
Para
Para quienes escriben estndares e
incluye un marco de referencia de los
elementos comunes de los Sistemas de
Gestin.

Estructura de PAS 99:
1.
2
2.
3.
4
4.
Alcance
Referencias Normativas
Trminos y definiciones
Requerimientos comunes de Sistemas de
Gestin
5. Anexo A Gua sobre antecedentes y uso de la
publicacin

Principales categoras:
Poltica
Planeacin
Implementar y operar
Evaluacin del desempeo
Mejora
Revisin de la gerencia

Fuente: BSI PAS 99:2006.

99:2006
Fuente: BSI PAS 99:2006.

4.1
. Requerimientos
eque
e tos ge
generales
e a es
Alcance del Sistema de Gestin
Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestin
Identificar los procesos necesarios
Determinar la secuencia e interaccin de estos procesos
Determinar
D
i
criterios
i i y mtodos
d necesarios
i
Asegurar la disponibilidad de recursos e informacin para
soportar la operacin y monitoreo
Monitorear, medir y analizar estos procesos

4.2 Poltica del Sistema de Gestin
Apropiada a las actividades, productos y servicios
Incluye un compromiso de cumplimiento con
t d los
todos
l requerimientos
i i t legales
l l relevantes
l
t
Provee la base para establecer y revisar objetivos
Es comunicada a todas las personas que trabajan
en o en nombre de la organizacin
Es revisada continuamente para verificar su
adecuacin
d
i

Puedotenerunsolo
P
d t
l
documento de poltica
documentodepoltica
para todos los Sistemas
paratodoslosSistemas
de Gestin?
deGestin?

4.3 Planeacin
Identificacin y evaluacin de aspectos, impactos y
riesgos
Identificacin
Id tifi i de
d requerimientos
i i t legales
l l y otros
t
Planeacin de contingencias
Objetivos
Estructura organizacional, roles, responsabilidades y
autoridades
Identificar,
Identificar
documentar y comunicar roles,
roles
responsabilidades y autoridades de los involucrados

4.4
4 4 Implementacin y operacin
Control operacional
Gestin de recursos (competencias)
Requerimientos de documentacin
Comunicacin

4.4.3
4 4 3 Requerimientos de documentacin
Alcance
Declaracin de poltica y objetivos
Descripcin de los principales elementos del sistema
Procedimientos
documentados
y
registros
mandatorios
Documentos que la organizacin considere como
necesarios
4.4.3.3 Controll de
d documentos
d
Aprobar previo a su uso
Revisar,
Revisar actualizar y reaprobar
re aprobar documentos
Asegurar que los cambios y versin actual estn
identificados
Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso
Asegurar
g
que los documentos se mantienen legibles
q
g
e
identificables
Asegurar que los documentos de origen externo estn
identificados y su distribucin controlada
Prevenir el uso no intencionado de documentos
obsoletos

Documentosyregistros
D
t
it
Son lo mismo son
Sonlomismo,son
cosas diferentes cuales
cosasdiferentes,cuales
son las diferencias?
sonlasdiferencias?

4.5
4 5 Evaluacin del desempeo
Monitoreo y medicin
Evaluacin de cumplimiento
Auditora
Auditora interna
Gestin de no conformidades

4.6
4 6 Mejora
General
Acciones correctivas, preventivas y de mejora

4.6.2
.6. Acciones
cc o es co
correctivas,
ect as, p
preventivas
e e t as y de
mejora
A) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de accin para que no vuelvan
a ocurrir
D) Determinar e implementar la accin necesaria
E) Registrar los resultados de la accin tomada
F) Revisar la efectividad de las acciones tomadas

4.7
4 7 Revisin de la Gerencia
General
Entradas
Salidas
Salidas
4.7.2 Entradas
A)
B)
C)
D)
E)
Resultados de auditoras
Retroalimentacin de partes interesadas
Estatus de acciones correctivas y preventivas
Acciones de seguimiento para revisiones previas
Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con la
organizacin
i i y los
l riesgos
i
que enfrenta
f t
F) Recomendaciones de mejora
G)) Datos e informacin sobre el desempeo
p
H) Resultados de la evaluacin de cumplimiento
4.7.3 Salidas
A) Mejoras en la efectividad del sistema
de gestin
B) Mejoras
M j
relacionadas
l i
d con los
l requeri
i
mientos de las partes interesadas
C) Recursos necesarios para lograr la
mejora al Sistema de Gestin y sus
procesos

Procedimientos mandatorios:
mandatorios :
Control de documentos y registros
Auditora
Acciones
Acciones Correctivas
Acciones Preventivas
Pasos sugeridos:
1Combinado
Sistemassonutilizadospor
separado
2Integrable
Sehanidentificadoloselementos
comunes
3Integracin
Sehanidentificadoloselementos
comunesyestnsiendointegrados
4Integrado
Unsistemaqueintegratodoslos
elementoscomnes
(Parntesis)yquehaydeCOBIT?

Questndardefinelas
Q
t d d fi l
guas para auditora de
guasparaauditorade
Sistemas de gestin?
Sistemasdegestin?
Auditora y Certificacin
ISO 19011
ISO19011
Guasparala
auditorade
SistemasdeGestin
de Calidad y/o
deCalidady/o
ambiental
IniciodelaAuditora
RevisindeDocumentos
PrepararActividadesenSitio
p
EjecutarActividadesenSitio
Preparar,AprobaryDistribuirelInformedelaAuditora
C
CompletarlaAuditora
l t l A dit
ConducirelSeguimientodelaAuditora
Competencia del auditor

Competenciadelauditor
Habilidades y atributos personales.
Conocimiento y experiencia en la aplicacin de
principios de:
Auditora +
Sistemas de Gestin +
Calidad +
S
Seguridad
id d de
d la
l Informacin
I f
i +
Gestin de TI +
Continuidad del Negocio +
Cumplimientovs
Cumplimiento
vs
C f
Conformidad
id d
Puedo solicitar la auditora de
certificacin
tifi i para diferentes
dif
t sistemas
it
en forma simultnea?
Conclusiones
Motivadores
Gobierno
corporativo
ValIT
ISO31000
COSO
COBIT/ISO38500
CMMI
Estndaresy
mejores prcticas
mejoresprcticas
SSECMM
PA
AS99
GobiernodeTI
Procesosy
procedimientos
Cumplimiento
Metasdelnegocio
Balanced
Scorecard
LFPDPPP,SOX,
BASILEAII,
PCI.
Procedimientos
dedesarrolloy
mantenimiento
ISO27005
ISO9001
SGC
Procedimientos
decalidad
ISO20000
SGSTI
ITIL
ISO27001
ISO
27001
SGSI
Principios
Principios
deSeguridad
(OECD)
BS25999/
ISO22301/
ISO 27031
ISO27031
SGCN
BS10012
SGIP
DRII
Practicas
Practicas
deproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
PM
MBOK/PRIN
NCE2
Desempeo
Preguntas
g
yyrespuestas
p
Gracias!
MarioUreaCuate
CISA,CISM,CGEIT,CISSP
CISA
CISM CGEIT CISSP
ISO27001LA,BS25999LA
mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena

Sistema de Gestión Integral Con G PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301 20000, COBIT, BS 25999 / ISO 22301

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sistema de Gestión Integral Con G PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301 20000, COBIT, BS 25999 / ISO 22301

Cargado por

Copyright:

Formatos disponibles

Sistema deGestin Integralcon

Mario Urea Cuate

Fuente: ISACA Global Status Report 2008

Fuente: ISACA Global Status Report 2011.

Fuente: ISACA Global Status Report 2011.

ISO 9001 (Calidad)

ISO 14001 (Medioambiente)

ISO/IEC 27001 (Seguridad de la Informacin)

OHSAS 18001 (Salud Ocupacional y Seguridad)

ISO 10002 (Satisfaccin de Clientes)

SO/ C 20000 (Servicios

ISO/IEC 22301 (Continuidad del Negocio)

ISO/IEC 27031 (Continuidad de las TIC)

(Proteccin de Datos Personales)

Fuente: Mario Urea SecureInformationTechnologies 2011.

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Sistema de Gestin Integral

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Fuente: BSI PAS 99:2006.

Fuente: BSI PAS 99:2006.

Elementos comunes de los SG

Elementos comunes de los SG

Sistema de Gestin Integral

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Sistema de Gestin Integral

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

Sistema de Gestin Integral

Competencia del auditor

Fuente: Mario Urea SecureInformationTechnologies 2011.

También podría gustarte