Taller de Implementación

de la norma ISO 27001

Ing. Maurice Frayssinet Delgado

mfrayssinet@pcm.gob.pe
www.ongei.gob.pe

Oficina Nacional de Gobierno Electrónico e Informática

 Agenda

 Sección 1: Principios fundamentales de la Seguridad

de la Información

 Sección 2: Estándar y Marco Normativo

 Sección 3: Implementación de la Norma ISO 27001

2
 Sección 1

Principios fundamentales de la
Seguridad de la Información

3
 ¿Qué es Seguridad?

• El término seguridad proviene

de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.

4
 Información y Activo

• Información: Datos significativos

• Activo: Cualquier bien que tiene valor para la
organización

5
 Activo de Información

• Las organizaciones poseen información que deben

proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.

• Este tipo de información imprescindible para las

empresas es lo que se denomina activo de
información.

6
 Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
 Documento - Registro

• Documento: Información y su medio de soporte

• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas

8
 Seguridad de la Información

La seguridad de la información es el conjunto de

medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.

Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

9
 Seguridad de la Información

Abarca todo tipo de información

 Impresa o escrita a mano
 Grabada con asistencia técnica
 Transmitida por correo electrónico o electrónicamente
 Incluida en un sitio web
 Mostrada en videos corporativos
 Mencionada durante las conversaciones
 Etc.

10
 Confidencialidad

• La confidencialidad es la propiedad que impide la

divulgación de información a personas o sistemas no
autorizados.

• A grandes rasgos, asegura el acceso a la información

únicamente a aquellas personas que cuenten con la
debida autorización.

11
 Integridad

• Es la propiedad que busca mantener los datos libres

de modificaciones no autorizadas.

• La integridad es mantener con exactitud la

información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.

12
 Disponibilidad

• La disponibilidad es la característica, cualidad o

condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.

• La disponibilidad es el acceso a la información y a los

sistemas por personas autorizadas en el momento
que así lo requieran.

13
 Análisis de Riesgos
Vulnerabilidad

• La debilidad de un activo o de un control que puede

ser explotada por una o más amenazas.

• Las vulnerabilidades pueden ser intrínsecas o

extrínsecas.

14
 Análisis de Riesgos
Amenazas

• Una Amenaza es la posibilidad de ocurrencia de

cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.

15
 Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza

16
 Impacto

Cambio adverso importante en el nivel de los objetivos

de negocios logrados

17
 Riesgo para la Seguridad de la
Información

• Potencialidad de que una amenaza explote una

vulnerabilidad en un activo o grupo de activos y por
lo tanto causará daño a la organización

Probabilidad Consecuencia
de (Impacto) Riesgo
Ocurrencia

18
 El Riesgo en función del
Impacto y la Probabilidad
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto
19
 Objetivo de Control y Control

Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad

20
 Tipos de Controles

Control preventivo
 Desalentar o evitar la aparición de problemas
 Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.

21
 Tipos de Controles

Control de investigación
 Buscar e identificar anomalías
 Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).

22
 Tipos de Controles

Control correctivo
 Evitar la repetición de anomalías
 Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestión de Riesgos

24
 Sección 2

Estándar y Marco Normativo

25
 ¿Qué es ISO?

• ISO es una red de organismos nacionales de

estandarización de mas de 160 países.

• Los resultados finales de los trabajos realizados por

ISO son publicados como normas internacionales

• Se han publicado mas de 19,000 normas desde 1947

26
 Principios
Básicos de las Normas ISO

1. Representación igualitaria: 1 voto por país

2. Adhesión voluntaria: ISO no tiene la autoridad

para forzar la adopción de sus normas

Principios
3. Orientación al negocio: ISO sólo desarrolla
Básicos de las normas para las que existe demanda del mercado
Normas ISO
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas

5. Cooperación internacional: más de 160 países

además de organismos de enlace
27
 ¿Qué son los Sistemas de Gestión?

• Un sistema de gestión es una estructura

probada para la gestión y mejora continua
de las políticas, los procedimientos y
procesos de la organización.

• Un sistema de gestión ayuda a lograr los

objetivos de la organización mediante una
serie de estrategias, que incluyen la
optimización de procesos, el enfoque
centrado en la gestión y el pensamiento
disciplinado.

28
 Los Sistemas de Gestión se Integran

SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001

29
 ¿Qué es un SGSI?

• Un SGSI (Sistema de Gestión de Seguridad de la

Información) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la protección de los activos de información para
lograr objetivos de negocio.

• El análisis de los requisitos para la protección de los

activos de información y la aplicación de controles
adecuados para garantizar la protección de estos activos
de información, contribuye a la exitosa implementación
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system) 30
 ¿Qué es un SGSI?

El Sistema de Gestión de la Seguridad de la Información

(SGSI) en las empresas ayuda a establecer
estas políticas, procedimientos y controles en relación
a los objetivos de negocio de la organización.

31
Enfoque a Procesos

32
 Ciclo de Deming

• El circulo de DEMING se constituye como una de las

principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.

• El conocido Ciclo Deming o también se le denomina el

ciclo PHVA que quiere decir según las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)

33
Ciclo de Deming

34
 Familia
ISO 27000
Vocabulario

ISO 27000
Vocabulario
Requisitos

ISO 27001 ISO 27009

Requisitos del Requisitos organización
SGSI certificadora
Generalidades

ISO 27002 ISO 27003 ISO 27004 ISO 27005

ISO 27007-27008
Código buenas Guía de Gestión de
Métricas Guías de Auditoria
practicas Implementación Riesgos
Industria

ISO 27011 ISO 27799 ISO 270XX

Telecomunicaciones Salud Vocabulario

35
 ISO 27001

• Especifica los requisitos de gestión

de un SGSI (Cláusula 4 a 10)

• Los requisitos (cláusulas) son

escritos utilizando el verbo
"deberán" en imperativo

• Anexo A: 14 cláusulas que

contienen 35 objetivos de control y
114 controles

• La organización puede ser

certificada en esta norma

36
 ISO 27002

• Guía para el código de prácticas para los

controles de la seguridad de la
información (Documento de referencia)

• Cláusulas escritas utilizando el verbo

"debería"

• Compuesto de 14 cláusulas, 35 objetivos

de control y 114 controles

• Una organización no puede ser certificada

en esta norma

• También conocida como ISO 17799

37
 ISO 27003

• Guía para el código de prácticas para

la implementación de un SGSI

• Documento de referencia para ser

utilizado con las normas ISO 27001 e
ISO 27002

• Consta de 9 cláusulas que definen 28

etapas para implementar un SGSI

• La certificación con esta norma no es

posible

38
Historia de la Norma
ISO 27001

39
 Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización

Clausula 5
Planificación

Clausula 10 Clausula 8
Mejora Funcionamiento

Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo

40
 Sección 3

Implementación de la Norma ISO 27001

41
 Enfoque a Procesos

• La aplicación del enfoque de proceso variará de una

organización a otra en función de su tamaño,
complejidad y actividades

• A menudo las organizaciones identifican demasiados

procesos

• Los procesos se pueden definir como un grupo lógico

de tareas relacionadas entre sí, para alcanzar un
objetivo definido.

ENTRADA PROCESO SALIDA

42
 Información Documentada
Ciclo de Vida de los Documentos
1. Creación

2. Identificación

3. Clasificación y seguridad

4. Modificación

5. Aprobación

6. Distribución

7. Uso adecuado

8. Archivado

9. Disposición
43
 ISO 30301

• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos

• La organización puede ser

certificada en esta norma

44
 La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección

45

• Compromiso de la dirección
• Planificación
• Fechas
• Responsables
• Implantar mejoras
• Acciones correctivas
• Acciones Preventivas
• Comprobar eficacia de las
acciones
Etapas
Ciclo de Deming
• Definir alcance del SGSI
• Definir Política de Seguridad
• Metodología de evaluación de
riesgos.
• Inventarios de activos
• Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Definir plan de tratamiento de
riesgos
• Implantar plan de tratamiento
de riesgos
• Implementar controles
• Formación y concienciación
• Operar el SGSI
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditorias internas del
SGSI
• Registrar acciones y eventos 46
 Iniciando el SGSI

 Definición del enfoque para la aplicación del SGSI

• Velocidad de Implementación
• Nivel de madurez del proceso y controles
• Expectativas y ámbito
 Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
 Alineación con las mejores practicas
• ISO 27001
• ISO 27002
• ISO 27003
• ISO 27004
47
 Nivel de Madurez

Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos

48
FASE I Organización

49
 Fase I Organización

Desarrollar las actividades principales para la dirección e

inicio de la implantación del SGSI.

• Obtener el apoyo institucional

• Determinar el alcance del Sistema de Gestión de
Seguridad de la Información
• Determinar la declaración de Política de Seguridad
de la Información y objetivos
• Determinar criterios para la evaluación y aceptación
de riesgos
50
 Obtener el Apoyo
Institucional

• Existen 4 ejes de apoyo para sustentar el

apoyo institucional, estos son:
1. Cumplimiento

2. Protección de Procesos de Negocio

3. Disminución de incidentes

4. Ordenamiento de su negocio

51
 Organización de la Seguridad

CGSI COSI
COMITÉ DE GESTION DE COMITÉ TÉCNICO DE
SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACION INFORMACION

AREAS FUNCIONALES

OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
ROLES

SI SF
RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD
INFORMATICA FISICA
52
 Comité Gestión

 El Comité de Gestión de Seguridad de la Información es el

máximo órgano consultivo de carácter no técnico sobre la
seguridad de la información.
 Se reunirá por lo menos una vez al mes para evaluar la
situación institucional en materia de seguridad de la
información y el plan de acción para mejorarla
continuamente.
 Las funciones del Comité de Gestión de Seguridad de la
Información son las siguientes:
• Informar la situación Institucional en materia de seguridad de la información.
• Proponer la designación del Oficial de Seguridad de la Información.
• Designar a los miembros del Comité Técnico de Seguridad de la Información.
• Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la
Información (SGSI). 53
 Comité Técnico

 El Comité Técnico de Seguridad de la Información es un órgano

consultivo de carácter técnico y está integrado por los Jefes de
los procesos involucrados en el alcance quienes deberán tener
un amplio conocimiento de los procesos que se realizan en la
institución.
 Las funciones del Comité Consultivo de Seguridad de la
Información son las siguientes:
• Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de
Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos, activos
de información, procesamiento de la información, mejoras al SGSI, entre otros.
• Ser “embajadores” de seguridad de la información para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
• Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir
informes al Comité de Gestión de Seguridad de la Información.
• Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la
Información.
54
 Determinar el Alcance
del SGSI

• Se debe definir en función de características del

negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI
(el SGSI no tiene por qué abarcar toda la
organización; de hecho, es recomendable empezar
por un alcance limitado)

55
 Determinar el Alcance
del SGSI

• Definir los limites de la organización.

• Definir los limites de los sistemas de información.

• Definir el ámbito y limites físicos.

• Definir el alcance del SGSI.

• Cambios en el alcance.

• Extensión del ámbito de aplicación.

56
 Determinar el Alcance
del SGSI

Cualquier cambio en el alcance debe ser

evaluado, aprobado y documentado

57
 Determinar la Declaración de Política de
Seguridad de la Información y Objetivos
• Debe tener el marco general y los objetivos de seguridad de la
información de la organización

• Debe explicar los requisitos de negocio, legales y contractuales

en cuanto a seguridad

• Debe de estar alineada con la gestión de riesgo general,

establecer criterios de evaluación de riesgo y ser aprobada por
la Dirección.

• La política de seguridad es un documento muy general, una

especie de "declaración e intenciones" de la Dirección, por lo
que no pasará de dos o tres páginas.

58
 Tipos de Política

POLITICA GENERALES Política de

DE ALTO NIVEL Seguridad

Política de Política del

POLITICA ALTO NIVEL
X TEMAS ESPECIFICOS Seguridad de SGSI
la Información

POLITICA
Política sobre Política de
Política sobre
DETALLADAS control de gestión de
criptografía
acceso incidentes

59
 Estructura de una Política

• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones

60
 Determinar Criterios para la
Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de
riesgos y determinar el nivel de riesgo aceptable.

• Existen muchas metodologías de evaluación de riesgos

aceptadas; la organización puede optar por una de ellas,
hacer una combinación de varias o crear la suya propia.

• ISO 27001 no impone ninguna ni da indicaciones

adicionales sobre cómo definirla.
61
 Algunas Metodologías para
la Evaluación de Riesgos

• Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
62
 Factores en la Selección
de la Metodología
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del método
3. Posibilidad de herramientas de software
4. Documentación, formación, apoyo.
5. Facilidad de uso
6. Costo de utilización
7. Existencia de material de comparación (métricas,
estudios, casos, etc.)
63
FASE II Planificación

64
 Desarrollar las actividades de planificación requeridas por la
norma de manera metodológica y en concordancia con la
política y objetivos del SGSI dentro del alcance del mismo.

• Realizar evaluación de Riesgos

• Conducir un análisis entre los riesgos identificados y

las medidas correctivas existentes

• Desarrollar un plan de tratamiento de riesgos

• Desarrolla la declaración de Aplicabilidad

65
 Realizar Evaluación de Riesgos
Inventario de Activos

• Todos aquellos activos de información que tienen

algún valor para la organización y que quedan dentro
del alcance del SGSI

• Se debe inventariar el nombre activo, tipo,

responsable y ubicación como campos mínimos.

• Se debe realizar la dependencia de activos

66
 Realizar Evaluación de Riesgos
Inventario de Activos

ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB) 67
 Realizar Evaluación de Riesgos
Análisis de Riesgos

• Análisis de los riesgos: evaluar el daño resultante de

un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
función de los niveles definidos previamente) o
requiere tratamiento.

68
Realizar Evaluación de Riesgos
Análisis de Riesgos

69
 Plan de
Tratamiento de Riesgos

70
 Selección de Controles y SOA

• Confeccionar una Declaración de Aplicabilidad: la

llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razón de su
selección, los controles actualmente implementados
y la justificación de cualquier control del Anexo A
excluido.

• Es, en definitiva, un resumen de las decisiones

tomadas en cuanto al tratamiento del riesgo.

71
Redacción de la Declaración de
Aplicabilidad

72
FASE III Despliegue

73
Desplegar las actividades de implementación del SGSI

• Elaborar el plan de trabajo priorizado

• Desarrollar documentos y registros necesarios
• Implementar los controles seleccionados

74
 Plan de Trabajo del SGSI

• Un plan de trabajo es un instrumento de

planificación.

• Estructura actividades, responsables, tiempos,

recursos, generalmente se expresa por medio de un
diagrama de gantt.

75
 Plan de Capacitación

1. Definir las necesidades de capacitación

2. Diseño y planificación de la capacitación

3. Provisión de la capacitación

4. Evaluación de los resultados de la capacitación

76
Plan de Capacitación

77
 Plan de Capacitación

La gran diferencia entre la formación y la concientización

es que la capacitación tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atención en un interés individual o una serie
de asuntos sobre la seguridad.

78
 Plan de Comunicación

1. Determinar qué queremos conseguir, cuáles son nuestros

objetivos.

2. Decidir a quién vamos a dirigir nuestra comunicación.

3. Pensar cuál es la idea que queremos transmitir.

4. Fijar el presupuesto con el que contamos (cuánto).

5. Seleccionar los medios apropiados y su frecuencia de

utilización.

6. Ejecutar el plan de medios y medir su impacto.

79
 Plan de Comunicación
Partes Interesadas
• Clientes
• Proveedores
• Empleados
• Comunidades
• Medios de Comunicación
• Inversores

El compromiso con las partes interesadas constituye una oportunidad para que una
organización pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
 Controles de la ISO 17799
ahora 27002
Área 1: Política de seguridad.
Área 2: Organización de la seguridad de la información.
Área 3: Gestión de activos. Seguridad
Área 4: Seguridad relacionada con los recursos humanos. Organizativa
Área 10: Gestión de la continuidad del negocio .

Área 6: Gestión de comunicaciones y operaciones.

Área 7: Control de accesos. Seguridad
Área 8: Adquisición, desarrollo y mantenimiento de sistemas. Lógica
Área 9: Gestión de incidentes.

Área 5: Seguridad física y del entorno Seguridad

Física
Área 11: Conformidad Seguridad
Legal

81
FASE IV Revisión

82
Realizar actividades de revisión del SGSI evidenciando
el cumplimiento de los requisitos de la norma

• Monitorear el desempeño del SGSI

• Fortalecer la gestión de incidentes

• Desarrollar documentos y registros necesarios

• Desarrollar las actividades para evidenciar la mejora

continua

83
 Monitoreo
Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto
de supervisión o medición
• Corresponde a la empresa determinar qué
es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la
vigilancia y medición de las actividades
que están vinculadas a los procesos
críticos que permiten a la organización
alcanzar sus metas y objetivos de
seguridad de la información
• Demasiadas medidas pueden distorsionar
el enfoque de una organización y
desenfocar lo que es verdaderamente
importante
84
 Monitoreo
Objetivos de la Medición

Los objetivos de la medición en el marco de un sistema de

gestión incluyen:
• Evaluación de la eficacia de los procesos y procedimientos
implementados;
• Verificación de la medida en que los requisitos identificados
de la norma se han cumplido.
• Facilitar la mejora del rendimiento;
• Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestión implementado.
85
 Monitoreo
Tableros de Mando

86
 Gestión de Incidentes

1. Asegurarse de que los eventos de seguridad son detectados

e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podrían causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma más adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organización.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organización.
87
FASE V Consolidación

88
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma

• Auditar internamente el SGSI

• Implementar las acciones correctivas

• Implementar las acciones preventivas pertinentes

• Desarrollar, corregir y mejorar documentación nueva

o existente

89
 Auditoria Interna

1. Crear el programa de auditoría interna

2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificación de las actividades
5. Asignar y administrar los recursos del programa de auditoría
6. Crear procedimientos de auditoría
7. Realizar actividades de auditoría
8. Seguimiento de no conformidades

90
 Tratamiento de Problemas y
no Conformidades

• Definir un proceso para resolver problemas y no

conformidades.

• Definir un procedimiento de acción correctiva.

• Definir un procedimiento de acción preventiva.

• Elaborar Planes de Acción.

91
FASE VI Certificación

92
 Definiciones de la Certificación

• Organismo de Certificación: Terceros que realizan la

evaluación de la conformidad de los sistemas de
gestión.

• Certificación: Procedimiento en el cual un tercero

garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas

93
 Proceso de Certificación

1. Selección de la entidad certificadora.

2. Auditoria de Pre-evaluación.

3. Etapa 1 de la auditoria, se fija en el diseño del SGSI

4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.

5. Auditoria de seguimiento, si tuviera no conformidades

6. Confirmación de la inscripción.

94
Preguntas

95
 Contactos

Soporte SGSI: Maurice Frayssinet Delgado

Correo Electrónico: mfrayssinet@pcm.gob.pe
Teléfonos: Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116
Contacto: Call Center
Correo Electrónico: ongei@pcm.gob.pe
Teléfonos: 6346000 anexo 109/106
2197000 anexo 5109/5106

96
 ONGEI
Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe