ISO/CASCO/STTF N 81

ISO/CASCO/STTF
ISO/CASCO/STTF - Spanish translation task force
Email of secretary:
Secretariat: AENOR (Spain)

hls
Document type: Other draft

Date of document: 2012-09-17

Expected action: COMM

Action due date: 2012-10-01

Background:

Committee URL: http://isotc.iso.org/livelink/livelink/open/cascosttf

 Apéndice 3
(Normativo)

Estructura de alto nivel, texto esencial idéntico, términos y definiciones esenciales

comunes

NOTA En las propuestas de texto idéntico, XXX designa un calificador de Norma de Sistemas
Gestión específico para la disciplina (por ejemplo, energía, seguridad del tráfico por carretera,
seguridad de TI, inocuidad de los alimentos, seguridad de los ciudadanos, medio ambiente,
calidad) que es necesario incluir. El texto azul en cursiva se proporciona como
recomendaciones a quienes redactan las normas.

INTRODUCCIÓN
NOTA Específica de la disciplina.
1. OBJETO Y CAMPO DE APLICACIÓN
NOTA Específica de la disciplina.

2. REFERENCIAS NORMATIVAS
NOTA Se debe usar el título del capítulo. Específica de la disciplina.

3. TÉRMINOS Y DEFINICIONES
NOTA Se debe usar el título del capítulo. Los términos y definiciones pueden incluirse dentro
de la norma, o en un documento separado. Para referenciar, términos y definiciones
esenciales comunes +Términos específicos de la disciplina.

Para los propósitos de este documento se aplican los siguientes términos y definiciones:

NOTA 1 Los siguientes términos y definiciones constituyen una parte integral del “texto
común” para las normas de sistemas de gestión. Se pueden agregar términos y definiciones
adicionales, si son necesarios. Se pueden agregar notas o modificarlas para servir al propósito
de cada norma.
NOTA 2 Cuando se usa negrilla en una definición, esto indica una referencia cruzada con
otro término definido en ese capítulo, y el número de referencia de este término se indica entre
paréntesis.
NOTA 3 Cuando el texto "XXX" aparece a lo largo del capítulo, la referencia adecuada se
debería insertar dependiendo del contexto en el cual se aplican estos términos y definiciones.
Por ejemplo: “Un objetivo XXX” se puede sustituir por “un objetivo de seguridad de la
información”.

3.01
organización
persona o grupo de personas que tienen sus propias funciones con responsabilidades,
autoridades y relaciones para el logro de sus objetivos (3.08)

1/13
Nota 1 a la entrada: el concepto de organización incluye, entre otros, un trabajador
independiente, compañía, corporación, firma, empresa, autoridad, sociedad, organización
caritativa o institución , o una parte o combinación de estas, ya sea de responsabilidad limitada
o compartida o de otra índole, públicas o privadas.
3.02
parte interesada persona u organización (3.01) que puede afectar, verse afectada, o percibirse
como afectada por una decisión o actividad

NOTA a la versión en español: los términos en inglés “interested party” y “stakeholder” tienen una traducción única
al español como “parte interesada”

3.03
requisito
necesidad o expectativa que está establecida, generalmente implícita u obligatoria

Nota 1 a la entrada: “Generalmente implícita" significa que es una costumbre o práctica común
en la organización y en las partes interesadas, que la necesidad o expectativa que se considera
esté implícita.

Nota 2 a la entrada: Un requisito especificado es el que está establecido, por ejemplo, en

información documentada.

3.04
sistema de gestión
conjunto de elementos interrelacionados o que interactúan de una organización (3.01) para
establecer políticas (3.07), objetivos (3.08) y procesos (3.12) para lograr estos objetivos

Nota 1 a la entrada: un sistema de gestión puede abordar una sola disciplina o varias
disciplinas.
Nota 2 a la entrada: los elementos del sistema incluyen la estructura de la organización, los
roles y responsabilidades, la planificación, el funcionamiento, etc.
Nota 3 a la entrada: el alcance de un sistema de gestión puede incluir la totalidad de la
organización, funciones específicas e identificadas de la organización, secciones específicas e
identificadas de la organización, o una o más funciones dentro de un grupo de organizaciones.

3.05
alta dirección
persona o grupo de personas que dirigen y controlan una organización (3.01) al más alto nivel

Nota 1 a la entrada: la alta dirección tiene el poder para delegar autoridad y proporcionar
recursos dentro de la organización.
Nota 2 a la entrada: si el alcance del sistema de gestión (3.04) comprende sólo una parte de
una organización, entonces “alta dirección” se refiere a quienes dirigen y controlan esa parte
de la organización.

3.06
eficacia
grado en el cual se realizan las actividades planificadas y se logran los resultados planificados

2/13
3.07
política
intenciones y dirección de una organización (3.01), como las expresa formalmente su alta
dirección (3.05).

3.08
objetivo
resultado a lograr

Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operativo.

Nota 2 a la entrada: los objetivos pueden referirse a diferentes disciplinas (como s financieoas,
de seguridad y salud y ambientales) y se pueden aplicar en diferentes niveles (como
estratégicos, para toda la organización, para proyectos, productos y procesos (3.12)).
Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo, como un
resultado previsto, un propósito, un criterio operativo, un objetivo XXX, o mediante el uso de
términos con un significado similar (por ejemplo, finalidad, meta u objetivo).
Nota 4 a la entrada: en el contexto de sistemas de gestión XXX, la organización establece los
objetivos XXX, en concordancia con la política XXX, para lograr resultados específicos.

3.09
riesgo
efecto de la incertidumbre

Nota 1 a la entrada: un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2 a la entrada: iincertidumbre es el estado, incluso parcial, de deficiencia de información
relacionada con la comprensión o conocimiento de un suceso, su consecuencia o posibilidad.
Nota 3 a la entrada: con frecuencia el riesgo se caracteriza por referencia a sucesos
potenciales (Guía ISO 73, 3.5.1.3) y a consecuencias potenciales (Guía ISO 73, 3.6.1.3), o a
una combinación de estos.
Nota 4 a la entrada: con frecuencia el riesgo se expresa en términos de una combinación de las
consecuencias de un suceso (incluyendo cambios en las circunstancias) y la probabilidad
asociada (Guía ISO 73, 3.6.1.1) de que ocurra.
3.10
competencia
capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos

3.11
información documentada
información que una organización (3.01) tiene que controlar y mantener, y el medio en el que
está contenida

Nota 1 a la entrada: La información documentada puede estar en cualquier formato y medio, y

puede provenir de cualquier fuente.
Nota 2 a la entrada: la información documentada puede hacer referencia a:
– el sistema de gestión (3.04), incluidos los procesos relacionados (3.12);
– la información creada para que la organización opere (documentación)
– la evidencia de los resultados alcanzados (registros).

3/13
3.12
proceso
conjunto de actividades interrelacionadas o que interactúan, que transforma los elementos de
entrada en elementos de salida

3.13
desempeño
resultado medible

Nota 1 a la entrada: el desempeño se puede relacionar con hallazgos cuantitativos o

cualitativos.
Nota 2 a la entrada: el desempeño se puede relacionar con la gestión de actividades, procesos
(3.1.2), productos (incluidos servicios), sistemas u organizaciones (3.01).
3.14
contratación externa
establecimiento de un acuerdo mediante el cual una organización (3.01) externa realiza parte
de una función o proceso (3.12) de una organización

Nota 1 a la entrada: una organización externa está fuera del alcance del sistema de gestión
(3.04), aunque la función o proceso contratado externamente forme parte del alcance.

3.15
seguimiento
determinación del estado de un sistema, un proceso (3.12) o una actividad

Nota 1 a la entrada: para determinar el estado puede ser necesario verificar, supervisar u
observar en forma crítica.
3.16
medición
proceso (3.12) para determinar un valor

3.17
auditoría
proceso (3.12) sistemático, independiente y documentado para obtener las evidencias de
auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se
cumplen los criterios de auditoría

Nota 1 a la entrada: Una auditoría puede ser interna (de primera parte), o externa (de segunda
o tercera parte), y puede ser combinada (combinando dos o más disciplinas).
Nota 2 a la entrada: “evidencia de auditoría” y “criterios de auditoría” se definen en la Norma
ISO 19011.
3.18
conformidad
cumplimiento de un requisito (3.03)

4/13
3.19
no conformidad
incumplimiento de un requisito (3.03)

3.20
corrección
acción para eliminar una no conformidad (3.19) detectada

3.21
acción correctiva
acción para eliminar la causa de una no conformidad (3.19) y para evitar que vuelva a ocurrir.

3.22
mejora continua
actividad recurrente para mejorar el desempeño (3.13)

4. CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar los aspectos externos e internos que son pertinentes para su
propósito y que afectan a su capacidad para lograr los resultados previstos de su sistema de
gestión XXX.

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS

La organización debe determinar:

 las partes interesadas que son pertinentes al sistema de gestión XXX, y

 los requisitos de estas partes interesadas.

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN XXX

La organización debe determinar los límites y la aplicabilidad del sistema de gestión XXX para
establecer su alcance.

Cuando se determina este alcance, la organización debe considerar:

|
 los aspectos externos e internos referidos en 4.1, y

 los requisitos referidos en 4.2.

El alcance debe estar disponible como información documentada.

4.4 SISTEMA DE GESTIÓN XXX

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema
de gestión XXX, incluidos los procesos necesarios y sus interacciones, de acuerdo con los
requisitos de esta Norma Internacional.

5/13
5. LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO

La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión
XXX:

 asegurando que se establezcan la política XXX y los objetivos XXX y que estos sean
compatibles con la dirección estratégica de la organización

 asegurando la integración de los requisitos del sistema de gestión XXX en los

procesos de negocio de la organización

 asegurando que los recursos necesarios para el sistema de gestión XXX estén
disponibles

 comunicando la importancia de una gestión XXX eficaz y conforme con los requisitos
del sistema de gestión XXX

 asegurando que el sistema de gestión XXX logre los resultados previstos

 dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de

gestión XXX

 promoviendo la mejora continua

 apoyando otros roles pertinentes de la dirección, para demostrar su liderazgo

aplicado a sus áreas de responsabilidad.

NOTAEn esta Norma Internacional se debería interpretar el término “negocio” en su sentido

más amplio, es decir, referido a aquellas actividades que son esenciales para los propósitos de
la existencia de la organización.

5.2 POLÍTICA

La alta dirección debe establecer una política XXX que

 sea adecuada al propósito de la organización

 proporcione un marco de referencia para el establecimiento de los objetivos XXX

 incluya el compromiso de cumplir los requisitos aplicables, e

 incluya el compromiso de mejora continua del sistema de gestión XXX

La política XXX debe:

 estar disponible como información documentada

6/13
 comunicarse dentro de la organización

 estar disponible para las partes interesadas, según sea apropiado

5.3 ROLES, RESPONSABLIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

La alta dirección debe asegurar que las responsabilidades y autoridades para los roles
pertinentes se asignen y comuniquen dentro de la organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) asegurar que el sistema de gestión XXX cumpla los requisitos de esta Norma
Internacional; e

b) informar a la alta dirección sobre el desempeño del sistema de gestión XXX.

6. PLANIFICACIÓN
6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

Al planificar el sistema de gestión XXX, la organización debe considerar los aspectos referidos
en 4.1 y los requisitos referidos en 4.2, y determinar los riesgos y oportunidades que es
necesario tratar con el fin de:

 asegurar que el sistema de gestión XXX pueda lograr sus resultados previstos

 prevenir o reducir efectos indeseados

 lograr la mejora continua

La organización debe planificar:

a) las acciones para tratar estos riesgos y oportunidades, y

b) la manera de:

- integrar e implementar las acciones en sus procesos del sistema de gestión

XXX

- evaluar la eficacia de estas acciones.

6.2 OBJETIVOS XXX Y PLANIFICACIÓN PARA LOGRARLOS

La organización debe establecer los objetivos XXX en las funciones y niveles pertinentes.
Los objetivos XXX deben:

 ser coherentes con la política XXX

 ser medibles (si es posible)

7/13
 tener en cuenta los requisitos aplicables

 ser objeto de seguimiento

 ser comunicados, y

 ser actualizados, según sea apropiado.

La organización debe conservar información documentada sobre los objetivos XXX.

Cuando se hace la planificación para lograr sus objetivos XXX, la organización debe
determinar:
 lo que se va a hacer

 qué recursos se requerirán

 quién será responsable

 cuándo se finalizará

 cómo se evaluarán los resultados.

7. SOPORTE
7.1 RECURSOS

La organización debe determinar y proporcionar los recursos necesarios para el

establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión
XXX.

7.2 COMPETENCIA
La organización debe:
 determinar la competencia necesaria de las personas que realizan , bajo su control,
un trabajo que afecta a su desempeño XXX, y

 asegurar que estas personas sean competentes, basándose en la educación,

formación o experiencia adecuadas;

 cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y

evaluar la eficacia de las acciones tomadas, y

 conservar la información documentada apropiada, como evidencia de la

competencia.

NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la
reasignación de las personas empleadas actualmente; o la contratación o subcontratación de
personas competentes.

7.3 TOMA DE CONCIENCIA

8/13
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de

 La política XXX

 su contribución a la eficacia del sistema de gestión XXX, incluyendo los beneficios

de una mejora del desempeño XXX

 las implicaciones de no cumplir los requisitos del sistema de gestión XXX

7.4 COMUNICACIONES
La organización debe determinar la necesidad de comunicaciones internas y externas
pertinentes al sistema de gestión XXX, que incluyan
 el contenido de la comunicación

 cuándo comunicar

 a quién comunicar

7.5 INFORMACIÓN DOCUMENTADA

7.5.1 Generalidades

El sistema de gestión XXX debe incluir:

 la información documentada exigida por esta Norma Internacional

 la información documentada que la organización ha determinado que es necesaria

para la eficacia del sistema de gestión XXX.

NOTA El alcance de la información documentada para un sistema de gestión XXX puede ser
diferente de una organización a otra, debido a:

— el tamaño de la organización y a su tipo de actividades, procesos, productos y

servicios,

— la complejidad de los procesos y sus interacciones, y

— la competencia de las personas.

7.5.2 CREACIÓN Y ACTUALIZACIÓN

Cuando se crea y actualiza información documentada, la organización debe asegurar que los
siguientes aspectos sean adecuados:

 la identificación y descripción (por ejemplo, título, fecha, autor o número de

referencia)

9/13
 el formato (por ejemplo, idioma, versión del software, gráficos) y soportes (por
ejemplo, papel, electrónico)

 la revisión y aprobación con respecto a la idoneidad y adecuación.

7.5.3 Control de la información documentada

La información documentada exigida por el sistema de gestión XXX y por esta Norma
Internacional se debe controlar para asegurar:

 que esté disponible y adecuada para su uso, dónde y cuándo se necesite

 que esté protegida adecuadamente (por ejemplo, contra pérdida de la

confidencialidad, uso inadecuado, o pérdida de integridad).

Para el control de la información documentada, la organización debe abordar las siguientes

actividades, según sean aplicable:
 distribución, acceso, recuperación y uso,

 almacenamiento y conservación, incluida la preservación de la legibilidad

 control de cambios (por ejemplo, control de versiones)

 tiempo de conservación y eliminación

La información documentada de origen externo, que la organización ha determinado que es

necesaria para la planificación y operación del sistema de gestión XXX se debe identificar y
controlar, según sea adecuado.
NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la
información documentada, o el permiso y la autoridad para consultar y modificar la información
documentada, etc.

8. OPERACIÓN
8.1 PLANIFICACIÓN Y CONTROL OPERATIVO

La organización debe implementar y controlar los procesos necesarios para cumplir los
requisitos y para implementar las acciones determinadas en 6.1 mediante lo siguiente:

 estableciendo criterios para los procesos

 implementando el control de los procesos de acuerdo con los criterios

 manteniendo información documentada en la medida necesaria para tener la

confianza en que los procesos se han llevado a cabo según lo planificado.

La organización debe controlar los cambios planificados y analizar las consecuencias de los
cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario.

10/13
La organización debe asegurar que los procesos contratados externamente estén controlados.

9. EVALUACIÓN DEL DESEMPEÑO

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
La organización debe determinar:
 a qué es necesario hacer seguimiento y qué es necesario medir

 los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable,

para asegurar resultados válidos

 cuándo se deben llevar a cabo el seguimiento y la medición

 cuándo se deben analizar y evaluar los resultados del seguimiento y la medición.

La organización debe conservar la información documentada adecuada como evidencia de los

resultados.
La organización debe evaluar el desempeño XXX y la eficacia del sistema de gestión XXX.
9.2 AUDITORÍA INTERNA
La organización debe llevar a cabo auditorías internas a intervalos planificados, para
proporcionar información acerca de si el sistema de gestión XXX:
a) cumple
 los propios requisitos de la organización para su sistema de gestión XXX

 los requisitos de esta Norma Internacional;

b) está implementado y mantenido eficazmente.

La organización debe:

a) planificar, establecer, implementar y mantener uno o varios programas de

auditoría que incluyan la frecuencia, los métodos, responsabilidades, los requisitos de
planificación, y la elaboración de informes. Los programas de auditoría deben tener en
cuenta la importancia de los procesos involucrados y los resu ltados de las auditorías
previas;

b) para cada auditoría, definir los criterios y el alcance de ésta;

c) seleccionar los auditores y llevar a cabo auditorías para asegurar la objetividad y

la imparcialidad del proceso de auditoría*;

d) asegurar que los resultados de las auditorías se informan a la dirección pertinente, y

e) conservar la información documentada como evidencia de la implementación del

programa de auditoría y de los resultados de ésta.

11/13
9.3 REVISIÓN POR LA DIRECCIÓN
La alta dirección debe revisar el sistema de gestión XXX de la organización a intervalos
planificados, para asegurar su conveniencia, adecuación y eficacia continuas.

La revisión por la dirección debe incluir que se consideren:

a) el estado de las acciones desde anteriores revisiones por la dirección,

b) los cambios en los aspectos externos e internos que sean pertinentes al sistema
de gestión XXX;

c) la información sobre el desempeño XXX, incluidas las tendencias relativas a:

 no conformidades y acciones correctivas;

 seguimiento y resultados de las mediciones, y

 resultados de la auditoría;

d) las oportunidades de mejora continua

Los resultados de la revisión por la dirección deben incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestión
XXX.

La organización debe conservar información documentada como evidencia de los resultados de

las revisiones por la dirección.

10. MEJORA

10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Cuando ocurre una no conformidad, la organización debe:

a) reaccionar ante la no conformidad, y según sea aplicable

 tomar acciones para controlarla y corregirla, y

 hacer frente a las consecuencias;

b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad,

con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante

 la revisión de la no conformidad

 la determinación de las causas de la conformidad, y

 la determinación de si existen no conformidades similares, o que podrían ocurrir;

12/13
c) implementar cualquier acción necesaria;

d) revisar la eficacia de las acciones correctivas tomadas, y

e) hacer cambios al sistema de gestión XXX, si es necesario.

Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades
encontradas.

La organización debe conservar información documentada adecuada, como evidencia de:

 la naturaleza de las no conformidades y cualquier acción posterior tomada, y

 los resultados de cualquier acción correctiva.

10.2 MEJORA CONTINUA

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del
sistema de gestión XXX.

13/13