Documentos de Académico
Documentos de Profesional
Documentos de Cultura
A3 M3 Hallazgos
A3 M3 Hallazgos
1. PRESENTACIÓN
En la presente guía de aprendizaje se entregan tres (3) casos, el participante debe
clasificar el hallazgo con respecto a sus conocimientos de auditoria.
2. OBJETIVO
Ejecutar y reportar el resultado de una auditoria interna en Sistemas de Gestión de
Seguridad de la Información ISO/IEC 27001:2013, específicamente no conformidades y
observaciones.
3. METODOLOGÍA
Para realizar esta guía, el participante de debe realizar individual.
Si detecta que hay una no conformidad debe diligenciar la casilla “No conformidad”, si
considera que hay una oportunidad de mejora, puede utilizar la casilla “Observación”, si
necesita más información debe diligenciar la casilla “Falta Información”.
Deben sustentar sus respuestas al tutor del curso con sus respuestas.
4. RECURSOS
Cuaderno de los participantes.
5. DURACIÓN DE LA ACTIVIDAD
40 minutos.
6. RETROALIMENTACIÓN
20 minutos para revisión.
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 1
AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3
7. ACTIVIDAD DE APRENDIZAJE
Caso 1: En la Auditoria realizada en el Proceso de Soporte técnico nivel 2 de la empresa
“Inc Tecnologìa”, El auditor observa que los ingenieros deben ejecutar su servicio en la
mayoría de casos en las instalaciones de los clientes. Para esto deben llevar sus equipos
portátiles con el ánimo de hacer pruebas de verificación y satisfacción de servicios.
Al preguntar a tres de los ingenieros sobre las medidas de seguridad que tienen los
equipos, estos informan que los equipos entregados tienen una cuenta de administrador
con la cual acceden al mismo, adicionalmente pueden instalar cualquier clase de
aplicativo.
El Auditor se dirige al Proceso de IT encontrando registros de la entrega de los Equipos,
adicionalmente en dicha evidencia se encontraron comentarios de que estos equipos
fueron entregados con acceso de Administrador ya que los ingenieros los necesitaban con
carácter urgente para prestar un servicio y no tuvieron tiempo para configurarlos.
El Auditor pudo verificar la existencia del Procedimiento SOP-EQUI Versión 3 el cual
indica que los equipos deben estar configurados con un usuario y restricciones de
seguridad (No instalación de aplicativos) y que sin excepción ningún equipo debe tener
cuenta de acceso como Administrador más aún si estos deben salir de la oficina.
Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 2
AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 3
AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3
Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 4
AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3
Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 5
AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3
8. RÚBRICA DE LA ACTIVIDAD
AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 6