C 4330 D ISMS Plan de Auditoría Versión 4.

0 / 6Jul10

Nombre de Compañia ACME TIGER

Representante de la Álvaro Gómez H, Jefe de la Unidad de Gestión de
dirección Tecnología

Tipo de Auditoría
Pre-Auditoría Auditoría de Certificación Re certificación
Etapa 1 o Etapa 2 Etapa 1 o Etapa 2
Seguimiento ( / ) Otros :

Equipo Auditor Denys Flores, Andrés Larco y Sheila Noboa

Para Auditoría etapa 1 (marcar todo)
Objetivos de Auditoría
auditar la documentación del sistema de gestión.

evaluar la ubicación y las condiciones específicas del sitio e intercambiar información con el personal
con el fin de determinar el estado de preparación para la auditoría de la etapa 2;

revisar el estado del cliente y su grado de compresión de los requisitos de la norma, en particular en
lo que concierne a la identificación de aspectos clave o significativos del desempeño procesos, objetivos y
funcionamiento del sistema de gestión;

recopilar la información necesaria correspondiente al alcance del sistema de gestión, a los procesos
y a las ubicaciones de la organización cliente, así como a los aspectos legales y reglamentarios
relacionados y su cumplimiento (por ejemplo, aspectos de calidad, ambientales, legales del funcionamiento
de la organización cliente, los riesgos asociados, etc.);

revisar la asignación de recursos para la auditoría de la etapa 2 y acordar con el cliente los detalles
de la auditoría de la etapa 2;

proporcionar un enfoque para la planificación de la auditoría de la etapa 2, obteniendo una

comprensión suficiente del sistema de gestión del cliente y de las operaciones del sitio en el contexto de
los posibles aspectos significativos;

evaluar si las auditorías internas y la revisión por la dirección se planifican y realizan, y si el nivel de
implementación del sistema de gestión confirma que la organización cliente está preparada para la
auditoría de la etapa 2.
Para Auditoría etapa 2 ( marcar todo)

evaluar el grado de implementación , incluyendo su eficacia del Sistema de gestión.

Para Auditoría de seguimiento (marcar todo)

evaluar el mantenimiento del sistema de gestión y mejoramiento continuo de su eficacia.

Alcance de Auditoría El Alcance del SGSI de ACME corresponde a:

“SERVICIOS DE TERCERIZACIÓN DE CONEXIONES WAN,
EN LOS DATA CENTERS DE LA ORGANIZACIÓN Y LA
PLATAFORMA TECNOLÓGICA SOPORTADA POR ELLOS”
El alcance de Sistema de Gestión de la Seguridad de la
Información se encuentra evidenciado en el documento Mapa
de Alcance y Límites del SGSI.
La organización aplica metodologías para la gestión del riesgo
donde identifica las acciones a seguir para aplicar los planes de
tratamiento de los riesgos identificados a los activos de
información.
Ver los documentos:
• Política de seguridad de la información.
• Política de Gestión de riesgos.
Página 1/5
 C 4330 D ISMS Plan de Auditoría Versión 4.0 / 6Jul10

• Procedimiento de Gestión de Riesgos.

Criterio de Auditoría &
Documentos de Referencia
Idioma
Las exclusiones asociadas al Sistema de Gestión de Seguridad
de Información están relacionadas al Objetivo de Control de la
Norma, A.10.9. Servicios de Comercio Electrónico, para los
controles:
Comercio electrónico y transacciones en línea, dado que ACME
no utiliza medios electrónicos para el desarrollo de las
actividades comerciales.
Criterio de Auditoría: NTE-INEN-ISO/IEC 27001:2011
Documentos Auditados:
Manual de Gestión de Seguridad de la Información; Declaración
de Aplicabilidad; Análisis y Evaluación de Riesgo
Español

Declaración de Confidencialidad Todas las informaciones evidenciadas durante la realización

de esta Auditoría serán tratadas en estricta confidencialidad, y no serán reveladas a un tercero
sin el consentimiento escrito del cliente, excepto a las autoridades de acreditación para su
evaluación del Sistema de Gestión acreditado de Cotecna.

Por favor revisar este plan de Auditoría, firmar y devolverlo a Cotecna.

Álvaro Gómez H_____________ __31-07-2014_________

Representante de la Dirección Fecha

Página 2/5
 4330 D ISMS Plan de Auditoría Versión 4.0 / 6Jul10

Fecha: 31-07-2014
Sitio de Auditoría: Oficinas de ACME TIGER en Bogotá, Colombia

4.3.1 Generalidades de Requisitos de docuemntación

5.2 .2 Formación, toma de conciencia y competencia

4.2.2 Implementación y Operación del SGSI

Mantenimiento y mejora del SGSI

4.2.3 Seguimiento y revisión del SGSI
Requerimientos de Sistema de Gestión de Seguridad

4.2.1 Establecimiento del SGSI

5.1. Compromiso de la dirección

Auditoría Interna del SGSI

4.3.2 Control de Documentos

5.2 .1 Provisión de recursos

Requisitos Generales

7.1 Revisión por la dirección

Informática

4.3.3 Control de registros

Uso de logos y marcas

Acción Preventiva
Acción correctiva
Mejora continua
ISO 27001: 2005

Auditor: Denys Flores, Andrés Larco y Sheila Noboa

Observadores CA o CQR:

8.1

8.2

8.3
4.1

6.
4.2.4
Hora:
Procesos del Cliente
Inicio de Auditoría
08:00
Denys Flores, Andrés Larco, Sheila Noboa
Recorrido de las Instalaciones
08:15 Denys Flores, Andrés Larco, Sheila Noboa, Representante
de la Dirección de la Empresa
Reunión de Apertura (Elaborar Checklist de Apertura)
08:30 Denys Flores, Andrés Larco, Sheila Noboa, Encargado(s)
del SGSI, Alta Dirección
SGSI
09:00 x
Denys Flores (4.2.1.a; 4.2.1.b; 4.2.1.c.1)
SGSI
x x x
Sheila Noboa (4.2.1.c.2; 4.2.2; 4.2.3.c; 4.2.3.h)
SGSI
x
Andrés Larco (4.2.1.g)

Página 3/5
 4330 D ISMS Plan de Auditoría Versión 4.0 / 6Jul10

10:00 Descanso
SGSI
10:30 Sheila Noboa (Responsable) x x
Andrés Larco
SGSI
x
Denys Flores
11:30 Reunión de Enlace - Equipo de Auditoría
12:30 Almuerzo
SGSI
13:30 Andrés Larco (Responsable) (8.2.e; 8.3.e) x x x
Sheila Noboa
SGSI
x
Denys Flores
Declaración de aplicabilidad (4.2.1.j)
Denys Flores
x
Andrés Larco (Responsable)
Sheila Noboa
14:30 Reunión de Enlace - Equipo de Auditoría
15:00 Preparación de Informe
Solicitud de Acciones Correctivas
x
Denys Flores, Andrés Larco
Informe de Auditoría – Fase 1
x
Sheila Noboa
Reunión de Cierre (Elaborar Checklist de Cierre)
16:30 Denys Flores, Andrés Larco, Sheila Noboa, Encargado(s)
del SGSI, Alta Dirección

Página 4/5
 4330 D ISMS Plan de Auditoría Versión 4.0 / 6Jul10

Solo para Auditor b) Desempeño de monitorio, medición, reporte y revisión de objetivos y metas de desempeño
claves (consistente con las expectativas del estándar del Sistema de gestión aplicable u otro
Tenga en cuenta para el plan de Auditoría y su realización documento normativo)
Para toda la Auditoría, el recorrido es obligatorio, puede ayudar al desarrollo de la Auditoría. c) El sistema de Gestión del cliente y desempeño respecto al cumplimiento legal
Registre y mencione el sitio o proyecto a visitar. d) Control operacional de los procesos del cliente
e) Auditoría interna y revisión por la dirección
Para la Auditoría Etapa 1 f) Responsabilidad de manejo para la política del cliente
g) Vínculos entre los requerimientos normativos, política, desempeño de objetivos y metas
La Auditoría etapa 1 debe realizarse: (consistente con las expectativas del estándar del Sistema de Gestión aplicable u otro
a) Al sistema de documentación del cliente documento normativo), requerimientos legales aplicables, responsabilidades, competencia del
b) Evaluación del sitio del cliente y condiciones especificas de sítios y discutir con el personal del personal, operaciones, procedimientos, datos de desempeño, hallazgos y conclusiones de
cliente para determinar la preparación de la Auditoría etapa 2 Auditoría interna
c) revisión del estado del cliente y entendimiento relacionado con los requerimientos de la norma, h) Las razones de aceptación de exclusiones aplicables para ISO 9001 debe ser registrado.
en particular con la identificación del desempeño clave o aspectos/impactos claves, i) Las razones de aceptación del alcance debe ser registrado.
peligros/riesgos, amenazas en cadena de suministro/riesgos, peligros en inocuidad de j) Toda duda y hallazgos negativos considerados en la etapa 1 que podría clasificar como no
alimentos/riesgos, procesos, objetivos y operación del Sistema de Gestión conformidad. Debe ser verificado y confirmado durante la etapa 2 y registrar sus evidencias en
d) Recolectar información necesaria acerca del alcance del sistema de gestión, procesos, sitio(s) el 4316 Nota del Auditor.
del cliente, aspectos regulatorios, legislación y cumplimientos (ejemplos, calidad, ambiental,
aspectos legales del la operación, productos/servicio del cliente, riesgos asociados, etc) Para Auditoría de Seguimiento solamente, se debe considerar lo siguiente:
e) Toda duda y hallazgos negativos considerados en la etapa 1 que podría clasificar como no
conformidad debe ser verificado y confirmado durante la etapa 2 y registrar sus evidencias en a) Auditorías internas y revisión por la dirección
el 4316 Nota del Auditor b) revisión de acciones tomadas de no conformidades identificadas durante la Auditoría
f) Revisar la asignación de recursos para la Auditoría de etapa 2 y ponerse de acuerdo con el previa
cliente en sus detalles c) tratamiento de quejas
g) proveer un enfoque para plan de la Auditoría etapa 2 mediante el grado de comprensión del d) eficacia del Sistema de Gestión respecto al logro de objetivos del cliente ya certificado
sistema de gestión del cliente y operaciones en sitio en el contexto de los posibles aspectos e) progreso de actividades planeadas para logro de mejora continua
significantes f) continuo control operacional
h) evaluar si las Auditorías internas y revisión por la dirección son planeadas y realizadas, y si el g) revisión de cualquier cambios
grado de implementación del sistema de gestión es sostenible y está listo para la Auditoría h) uso de marcas y logos, cualquier referencia de certificación.
etapa 2
i) Las razones de aceptación de exclusiones aplicables para ISO 9001 debe ser registradas
Para Auditoría de Recertificación solamente, Se deben incluir los siguientes aspectos en el plan de
Para la mayoría de Sistemas de Gestión, se recomienda que por lo menos una parte de Auditoría de Auditoría:
etapa 1 se realice en la instalación del cliente para obtener los objetivos arriba descritos.
a) Revisión de la eficacia del Sistema de Gestión en su totalidad con respecto a los cambios
internos y externos y su continua aplicación al alcance de certificación
Para Auditoría Etapa 2 b) revisar el compromiso de la compañía a mantener la eficacia del sistema de Gestión para
mejorar el desempeño en general
El propósito de la Auditoría Etapa 2 es evaluar el grado de implementación, mantenimiento y mejora c) revisar la operación del Sistema de Gestión certificado que contribuye al logro de los objetivos
continua del sistema de Gestión del Cliente incluyendo su eficacia. La Auditoría Etapa 2 se debe y política
realizar en el(los) sitio(s) del cliente. Deben incluir, por lo menos, los siguientes aspectos: d) verificar acciones tomadas basadas en quejas, reclamos y apelaciones
a) información y evidencia de conformidad a todos los requerimientos de la norma del sistema de
gestión aplicable u otro documento normativo

Página 5/5