Auditoria Parte II

FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
Auditoría de
Sistemas
Tema: La Importancia de la Norma
ISO 27001 en el SGSI de una
empresa
Docente: Mg. Mercedes Ccesa Quincho Ayacucho, 9 de noviembre de 2021
1. Sistema de Información
Un sistema de información es un conjunto de procedimientos

ordenados que permiten gestionar la información de la organización, y
para ello se deben:
• Recoger los datos necesarios y procesarlos adecuadamente con el
fin de convertirlos en información.
• Almacenar la información útil en bases de datos.
• Proporcionar la información en tiempo y forma a los responsables
de la organización.
(Bureau Veritas, 2016)
2
Auditoría de Sistemas – IS547
2
1. Sistema de Información
El objetivo fundamental de estos sistemas es proporcionar la

información necesaria que facilite la toma de decisiones.
Características destacadas: Elementos:

• Incluir sólo información útil • Información y datos
• Ofrecer una información exacta • Personas
• Elementos de soporte
3
3
2. Informatización de los sistemas
Características del sistema:

Confidencialidad, seguridad, flexibilidad, rapidez y fiabilidad.
4
4
Características del sistema: Confidencialidad, seguridad
Privacidad de los empleados

políticas adecuadas que protejan
(salud, situación familiar o
la confidencialidad
los salarios)
LPDP 5
5
Características del sistema: Flexibilidad, rapidez y fiabilidad
Sistema adaptable en el Adecuada y amplia

tiempo documentación
Rapidez o agilidad a las consultas de información
6
6
Problemas de los SI:
• Altas expectativas de los usuarios.

• Inadecuada selección del sistema.
El éxito en la informatización de los sistemas de información de la

empresa depende de una buena planificación del sistema, lo que conlleva
una adecuada comunicación entre usuarios, personal informático y
proveedores.
7
7
Asociación Latinoamericana de Profesionales en Seguridad Informática ALAPSI A.C
8
8
3. Sistema de Gestión de la Seguridad de la

Información (SGSI)
Un SGSI es un conjunto de procesos que permiten establecer,

implementar, mantener y mejorar de manera continua la seguridad
de la información, tomando como base para ello los riesgos a los
que se enfrenta la organización. (Gómez y Fernández, 2015)
9
9

Información (SGSI)
La implementación de un SGSI supone el establecimiento de

procesos formales y una clara definición de responsabilidades en
base a una serie de políticas, planes y procedimientos que deberán
constar como información documentada.
10
10

Información (SGSI)
El SGSI está diseñado para proporcionar los controles de seguridad

que protejan los activos de información de una organización.
11
11

Información (SGSI)
Es básico entender los requerimientos de seguridad de la

información de una organización y la necesidad de establecer una
política y unos objetivos concretos para la seguridad de la
información.
12
12

Información (SGSI)
Se deberán implementar y operar controles para manejar los

riesgos de la seguridad de la información, monitoreando y
revisando el desempeño y la efectividad del sistema de gestión de
seguridad de la información.
La finalidad última es alcanzar una mejora continua en base a
medición del objetivo.
13
13

Información (SGSI)
La Norma ISO 27001

La nueva versión de la norma ISO 27001, que fue publicada el 15 de
Octubre de 2013, contiene los “requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un
SGSI”.
14
14

Información (SGSI)
Ciclo PDCA
15
15

Información (SGSI)
Ciclo PDCA en ISO/IEC 27001:2013. Fuente: ONGEI, taller de transición de la norma ISO/IEC 27001:2005 a la
ISO/IEC 27001:2013
16
16

Información (SGSI)
17
17
3.1. Requerimientos generales de un SGSI
Una organización debe establecer, implementar, monitorear,

mantener y mejorar continuamente un SGSI documentado dentro
del contexto de las actividades generales de la organización.
18
18
3.1. Requerimientos generales de un SGSI
19
19
3.2. Implementar y operar el SGSI
La organización debe formular un plan de tratamiento de riesgo

que identifique las acciones apropiadas, los recursos, las
responsabilidades y las prioridades para manejar los riesgos de la
De esta manera, con una adecuada implementación de las
operaciones y recursos del SGSI se podrá producir una rápida
detección y respuesta a posibles incidentes de seguridad.
20
20
3.2. Implementar y operar el SGSI
Niveles de la información documentada

21
21
3.3. Monitorear y revisar el SGSI
La organización debe ejecutar procedimientos de monitoreo y revisión, y

todos aquellos controles, que permitan detectar rápidamente los errores
en los resultados de procesamiento, identificando los incidentes y
violaciones de seguridad.
También, esta actividad permitirá a la dirección determinar si las
actividades de seguridad delegadas a las personas o implementadas
mediante la tecnología de la información se están realizando como se
esperaba,
22
22
Es fundamental, realizar revisiones regulares de la efectividad del

sistema de gestión de seguridad de la información, incluyendo
satisfacer la política y objetivos de seguridad del SGSI, revisando
los controles de seguridad con los resultados de las auditorias,
incidentes, mediciones de seguridad y sugerencias de todas
las partes interesadas.
23
23
Es fundamental, realizar revisiones regulares de la efectividad del

sistema de gestión de seguridad de la información, incluyendo
satisfacer la política y objetivos de seguridad del SGSI, revisando
los controles de seguridad con los resultados de las auditorias,
incidentes, mediciones de seguridad y sugerencias de todas
las partes interesadas.
24
24
3.4. Mantenimiento y mejora del SGSI
La organización deberá implementar las mejoras identificadas en

el sistema de gestión de seguridad de la información, adoptando
las acciones correctivas y preventivas apropiadas.
Se deben comunicar los resultados y acciones a todas las partes
interesadas con un nivel de detalle apropiado de acuerdo a las
circunstancias y cuando sea relevante acordar cómo proceder,
asegurándose que las mejoras logren los objetivos señalados.
25
25
4. Objetivos de la política de seguridad de la

información
El objetivo de la política de seguridad de la información es

proporcionar directrices para la gestión y soporte de la seguridad
de la información de acuerdo con los requisitos empresariales y
con la legislación y las normas relevantes
26
26
4. Objetivos de la política de seguridad de la

información
27
27
4.1. Organización de la seguridad de la

información
28
28
4.1. Organización de la seguridad de la

información
29
29
5. Conceptos
30
30
5. Conceptos
31
31
Bibliografía
Gómez Fernández, L. Y Fernández Rivero, P.P. (2015). Cómo implantar un

SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el
Esquema Nacional de Seguridad. Primera edición. Madrid,
España: AENOR.
Burea Veritas (2016). Conocer la Importancia de la Norma ISO 27001
en el SGSI de una Empresa.
32
Sistemas Operativos IS-344 32
ll
Analizar y Revisar la Norma ISO 27001
Avanzamos a través del conocimiento

ANALIZAR Y REVISAR LA NORMA ISO 27001
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de entender el origen,
evolución y estructura de la Norma ISO 27001:2013.
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
Conocer las Normas ISO de Seguridad de la Comprender la Estructura y Filosofía de ISO 27001.
Información.
Distinguir los Objetivos y Controles de ISO 27001.
Aprender el Origen y Evolución de ISO 27001.
Entender la Utilidad de ISO 27001.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
Trabajo Individual: Integrar el sistema de gestión de seguridad de la información con los procesos de la
organización. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Establecer los objetivos de seguridad de la información en las funciones y niveles que
exige la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Determinar el enfoque de la importancia de las Nuevas Tecnologías en materia de Protección de
Datos. A realizar a lo largo del Módulo/Curso
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
Motivación a la Calidad
AUTOEVALUACIÓN
Normas ISO de Seguridad de la Información. Estructura y Filosofía de ISO 27001
Origen y Evolución de ISO 27001. Objetivos y Controles de ISO 27001
Utilidad de ISO 27001.
TEST DE EVALUACIÓN DE CONOCIMIENTOS
2
NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN
ISO ha asignado a la seguridad de la información la serie 27000, donde se encuadran normas de requisitos
y guías de apoyo.
Quedan configuradas las normas de la siguiente manera:
La Familia ISO 27000
Normas para Construir, Evaluar y Mejorar un SGSI
27000 Descripción general y vocabulario.
27001
Contiene los requisitos del SGSI: es un modelo certificable en seguridad de la
información.
Guía de Buenas prácticas en seguridad de la información que describe los

27002 objetivos de control y los controles recomendables en cuanto a seguridad de la
información.
27003 Guía de implantación de un SGSI.
27004 Guía que determina la métrica y mediciones del SGSI y de sus controles para
asegurar la eficacia del mismo.
27005 Guía para la gestión de riesgos de seguridad de la información.
27006 Requisitos para las entidades que realizan auditorias de certificación de un SGSI
27007 Guía para la realización de auditorías de SGSI
27008
Guía para la realización de las auditorias de los controles de seguridad de la
información.
27035 Guía para la gestión de incidentes de seguridad de la información.
3
La Familia ISO 27000
Principales Normas de Apoyo para Ampliar el Ámbito de un SGSI y adaptarlo a diferentes

sectores
27010 Guía de controles de seguridad adicionales para organizaciones que comparten

información.
27011 Guía para la aplicación de los controles de la ISO en el sector de

telecomunicaciones.
27013 Guía para la implantación integrada de ISO 27001 e ISO 20000-1.
27014 Gobierno de la seguridad de la información.
27015 Guía para la aplicación de los controles de la ISO en servicios financieros.
27019 Guía para la aplicación de los controles de la ISO en el sector de industria

energética.
27031 Guía para la continuidad del negocio en el sector TIC.
27032 Guía para la ciberseguridad.
27036-3 Guía para la seguridad en la cadena de suministro TIC.
27799 Guía para la aplicación de los controles de la ISO en el sector sanitario.
4
Principales normas de la familia ISO 272000
Medidas de Seguridad que Deben Adoptar las Empresas en un Sistema de Información
La ISO (Internacional Standarization Organization) es la entidad internacional encargada de favorecer

la normalización a nivel internacional.
Existen oficinas de normalización en distintos países, y concretamente en España esta función la realiza
AENOR.
Una norma es un modelo, patrón o criterio a seguir, que define las principales características y requisitos
exigidos para su utilización a nivel internacional.
La finalidad principal de las normas ISO es coordinar y unificar los diferentes usos y aplicaciones con el
fin de conseguir una mayor eficacia y eficiencia, así como una reducción en los costes.
5
Las normas principales son ISO 27001, que contiene los requisitos del sistema de seguridad de la
información e ISO 27002 que es una guía de buenas prácticas.
Otras Normas ISO del Grupo 27000

En el grupo de normas ISO de seguridad de la información, existen también otras que complementan lo
determinado en la 27001 y en la 27002 como es la Norma ISO 27007 que consiste en una guía de auditoría
de un sistema de gestión de la seguridad de la información.
También, la norma ISO 27011 consistente en una guía de gestión de seguridad de la información específica
para telecomunicaciones.
Otras normas dedicadas a la gestión de la seguridad de la información, son la norma ISO 27032 que
consiste en una guía relativa a la ciberseguridad y la norma ISO 27799 para la adaptación de los controles
de la norma ISO 27002 en el sector sanitario.
6
APRENDER EL ORIGEN Y EVOLUCIÓN DE ISO 27001
La nueva versión de la norma ISO 27001 fue publicada el 1 de Octubre de 2013, y es la norma que
contiene los requisitos del sistema de seguridad de la información. La anterior versión correspondía al año
2005.
Tiene su origen en la BS 7799-2:2002, y su objetivo es proporcionar una base común para la elaboración
de las normas de seguridad de las organizaciones, configurando un método de gestión eficaz de la
seguridad, y estableciendo informes de confianza en las transacciones y las relaciones entre las empresas.
ISO 27001 es la norma en base a la cual se certifica por auditores externos a la empresa los sistemas de
gestión de seguridad de la información de las organizaciones. Aunque el hecho de estar certificado en
ISO 27001 no prueba que la organización sea 100 % segura.
7
ENTENDER LA UTILIDAD DE LA ISO 27001
La autoridad y compromiso decidido de la dirección de la empresa, incluso si el alcance inicialmente es
muy reducido, es uno de los puntos fundamentales de la aplicación de la norma ISO 27001.
La adopción de esta norma internacional proporciona claras ventajas que deben ser valoradas por la
gerencia y la dirección para su implantación en la empresa
Se plantea como principal objetivo la certificación, aunque también es posible alcanzar la conformidad
con la norma sin la certificación; en estos casos el cumplimiento de los requisitos establecidos por la norma
permitirá alcanzar el éxito en la gestión de la seguridad de la información de la empresa.
Beneficios de la ISO 27001
Se genera un importante compromiso: El registro permite garantizar y

En el Ámbito demostrar la eficacia de los esfuerzos desarrollados para asegurar la
Organizacional organización en todos sus niveles, y probar la diligencia razonable de sus
administradores.
Se manifiesta conformidad en el cumplimiento de los requisitos legales: El

En el Cumplimiento
registro permite demostrar a las autoridades competentes que la organización
Legal de las Exigencias
observa todas las leyes y normativas aplicables.
Se desarrolla una adecuada gestión de los riesgos: Permitirá obtener un

mejor conocimiento de los sistemas de información, sus problemas y los medios
En el Ámbito Funcional
de protección, garantizando también una mejor disponibilidad de los materiales y
datos.
Se genera credibilidad y confianza: Por tanto, los socios, los accionistas y los
clientes se tranquilizan al constatar la importancia que la organización concede a
En el Ámbito Comercial la protección de la información. Una certificación también puede brindar una
diferenciación sobre la competencia y en el mercado. Asimismo, algunas
licitaciones internacionales ya comienzan a pedir una gestión ISO 27001.
En el Aspecto Se puede conseguir una reducción de los costes vinculados a los incidentes y
Financiero también la posibilidad de disminuir las primas de seguro.
En la gestión de los recursos humanos de la empresa se produce una mejora de

En el Aspecto Humano la sensibilización del personal en relación a la seguridad y a sus
responsabilidades en la organización.
8
Ventajas de la Obtención del Certificado ISO 27001
Certificado expedido por un organismo reconocido oficialmente, en el que se identifica la conformidad del
Sistema de Gestión de Seguridad de la información de la empresa de acuerdo con la Norma ISO, en la
que se basó dicho sistema.
La obtención de un certificado, que asegura de cara al exterior que la organización cumple con el sistema
de gestión implantado, genera prestigio empresarial y es una garantía de competitividad en el mercado.
Aunque quien verdaderamente va a decidir si una organización merece encontrarse y permanecer en el

mercado son los clientes, que son los que realmente van a certificar el sistema de gestión de la seguridad
de la información implantado.
9
ESTRUCTURA Y FILOSOFÍA DE LA ISO 27001
La norma ISO 2007 presenta la siguiente estructura:
Estructura de la ISO 27001
Aunque esta norma se puede aplicar a todos los tipos de organización, es

necesario definir el tamaño de las organizaciones a las que va dirigida.
Alcance
También, es conveniente especificar los requisitos adecuados para la
implementación de los controles de seguridad adaptados a las necesidades de
las organizaciones o bien a partes de estas.
En esta Norma es necesaria la utilización de la norma ISO IEC 27002: 2013

Tecnología de la información. Técnicas de seguridad-Código de buenas
Prácticas para la Gestión de Seguridad de la Información.
A lo largo de la norma se hace referencia a otras normas:

Referencias
Normativas
ISO/IEC 27003: Guía implantación del SGSI.
ISO/IEC 27004: Medición.
ISO/IEC 27005: Gestión de Riesgos de Seguridad de la Información.
Son los términos y definiciones utilizados a lo largo de la norma ISO 27001:

Términos y
Definiciones
Se aplica el contenido de la norma ISO / IEC 27000.
Entendimiento de la Organización y su Contexto: requiere identificar todos

los elementos internos y externos con impacto en la consecución de los
objetivos del SGSI.
Expectativas de las partes interesadas: es obligatorio identificar claramente

Contexto de la
los requisitos y expectativas de todas las partes interesadas, incluyendo los
Organización
aspectos legales, contractuales y regulatorios.
Alcance del SGSI: los límites del SGSI estará documentado y estará
condicionado por los puntos anteriores, así como por las dependencias e
interfaces internas y externas con otras organizaciones.
10
Liderazgo y Compromiso de la Alta Dirección: mostrando evidencias como el
establecimiento, implementación, revisión, mantenimiento y mejora del SGSI,
evidenciando que se proveen los recursos necesarios para el desarrollo del
sistema.
Política: diseño, despliegue y comunicación del marco global que incluya el

Liderazgo
compromiso permanente de la dirección en cuanto a su cumplimiento y mejora
continua.
Roles, responsabilidades y autoridades de la organización: las

responsabilidades y autoridades están debidamente asignadas y comunicadas,
así como el reporte del funcionamiento del SGSI a la alta dirección.
Acciones para abordar los riesgos y oportunidades: la organización debe

definir y aplicar un proceso de evaluación de los riesgos de seguridad de la
información, estableciendo los criterios de análisis que permitan identificar,
analizar y evaluar los riesgos resultantes, para posteriormente realizar un
adecuado tratamiento y selección de los controles más adecuados según el
Planificación anexo A.
Objetivos de seguridad de la información: se deben establecer objetivos de

seguridad que deben ser consistentes con la Política, y medibles, basados en
los riesgos del negocio y con un adecuado seguimiento del grado de
cumplimiento.
Soporte Recursos: es necesario demostrar que se han determinado y se proveen los
11
recursos necesarios para el desarrollo del sistema.
Competencia: es fundamental garantizar que todo el personal al que se le han

asignado responsabilidades en el SGSI es competente para desempeñar las
tareas requeridas.
Concienciación: el personal con tareas dentro del SGSI debe conocer la

política de seguridad, su contribución a la efectividad del SGSI y las
implicaciones del incumplimiento con los requisitos establecidos.
Comunicación: relativo a la identificación de los canales más efectivos de

comunicación internos y externos (quién, cómo, cuándo, cómo y qué).
Información documentada: aplicación de criterios que aseguren un control a lo

largo de todo el ciclo de vida de la documentación sobre la que se construye el
SGSI (creación, actualización, distribución, almacenamiento).
Control y control operacionales: planificar, implantar y controlar los procesos

necesarios para cumplir con los requisitos y objetivos de seguridad de la
información.
Evaluaciones de riesgos de seguridad de la información: se deben realizar

Operación evaluaciones documentadas de los riesgos de forma periódica y planificada en
función de los criterios establecidos.
Tratamiento de los riesgos de seguridad de la información: debe

implantarse un plan de tratamiento de los riesgos de la información
documentado.
Medición, análisis y evaluación: el Sistema de Gestión de la Seguridad de la

Información debe asegurar que la organización mejora continuamente su
efectividad, determinando cuáles son las necesidades de medición, los métodos
más adecuados, la frecuencia y los responsables de su aplicación y análisis.
Auditoria Interna: garantizando que la organización realiza auditorías internas

Evaluación del
en los intervalos planificados, por tanto se requiere una formalización del
Desempeño
programa de auditorías, los criterios de auditoria, las competencias necesarias
para los auditores internos y un análisis y tratamiento adecuado de los
resultados obtenidos.
Revisión por la dirección: la alta dirección debe revisar el SGSI a intervalos

planificados, que asegure que continúa siendo idóneo, apropiado y efectivo.
Mejora No conformidades y acciones correctivas: cuando se detecte una no

conformidad la organización debe reaccionar, determinando sus causas y
12
proponiendo acciones correctivas efectivas para eliminar la causa raíz.
Mejora continua: el SGSI debe asegurar que la organización mejora

continuamente su efectividad mediante el uso de:
■ La política y los objetivos de seguridad de la información.

■ Los resultados de auditoria.
■ Los análisis de eventos monitorizados.
■ Las acciones correctivas y preventivas.
■ La revisión del sistema por parte de la alta dirección.
DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes

descargar un índice detallado de la Norma ISO 27001:2013.
VIDEO EN LA PLATAFORMA (Acceso a través de la Plataforma)

Accediendo a esta Unidad de Competencia a través de la Plataforma,
puedes visualizar un vídeo ilustrativo en el que se describe la importancia
de la familia de Normas ISO 27000, que proporcionan un marco de gestión
de la seguridad de la información que puede utilizar cualquier organización
de ámbito público o privado.
Filosofía de la ISO 27002

La norma ISO 27002:2013 es una guía de recomendaciones estructuradas que está reconocida
internacionalmente y dedicada a la seguridad de la información.
13
Se determina un proceso concreto que permite evaluar, establecer, mantener y administrar la seguridad de
la información.
Es Evidente que ISO 27002: 2013 NO ES
■ Un estándar técnico.
■ Una norma tecnológica orientada al producto.
■ Una metodología de evaluación del equipamiento.
■ Un sistema que permite una certificación de la seguridad, ya que actualmente solo ISO 27001 y sus
derivados nacionales ofrecen un esquema de certificación.
■ Un sistema que no detalla ninguna obligación en cuanto al método de evaluación del riesgo, sino
que bastaría con elegir el que responde a las necesidades.
¿Para qué Sirve ISO 27002: 2013?

Es una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la
información de una empresa.
La norma contiene un conjunto de controles donde se identifican las mejores prácticas para la gestión de
la seguridad de la información, y sirve como consulta al encargado de la seguridad de la información de
una organización.
La ISO 27002:2013 no es un Sistema de Gestión de Seguridad de la Información.
La ISO 27002:2013 no es certificable, únicamente hace recomendaciones sobre el uso de controles de

seguridad, y no establece ningún requisito cuyo cumplimiento pudiera certificarse.
Integración de Normas iSO
Las normas ISO 20000-1 (Gestión de Servicios) e ISO 22301 (Gestión de la Continuidad del Negocio)
establecen requisitos adicionales que permiten establecer un marco más eficaz de gestión de la
seguridad de la información, a partir de la implantación de la ISO 27001.
Las normas ISO 20000-1 e ISO 22301 desarrollan en más detalle controles que aparecen en el anexo A
14
de ISO 27001, tales como gestión de la capacidad o continuidad del negocio.
La ISO 27001 se puede integrar con otras normas, como por ejemplo la ISO 90001, ISO 20000-1 o ISO
22301 al compartir como principio general la gestión de procesos.
El cumplimiento de estas normas genera una importante armonización con el grupo de normas de calidad
ISO 9000 ISO 9001 / ISO 20000-1 / ISO 22301 al generar un beneficio común de reducción de esfuerzos y
costes.
Perfil de la Organización Interesada

El perfil de las organizaciones en las que puede ser interesante implantar un sistema de gestión de la
seguridad de la información es muy variado:
Organizaciones a las que Pueden Interesarles Implantar un SGSI
15
Cualquier tipo de organización o de empresa, privada o pública, en estos casos no importa el tamaño de
esta para proceder a la implantación del sistema.
Es importante también su implantación en aquellas organizaciones que utilizan sistemas internos o

externos que poseen informaciones confidenciales, o que dependen de estos sistemas para el
funcionamiento normal de sus operaciones.
La organización que desea probar su nivel de seguridad de la información conforme a una norma
reconocida internacionalmente.
Cuanto más elevado es el riesgo en la organización, más atención se debe poner a la seguridad de sus
datos. Es el caso particular de los sectores gubernamentales, financieros y de salud.

puedes visualizar un vídeo ilustrativo en el que se describe la importancia
de la familia de Normas ISO 27000, que proporcionan un marco de gestión
de la seguridad de la información que puede utilizar cualquier organización
de ámbito público o privado.
16
OBJETIVOS Y CONTROLES DE ISO 27001
Desde el 1 de Octubre de 2013 se cuenta con una nueva versión de la norma ISO 27001, Y en su anexo A
se regulan los objetivos de control y controles, tal y como establece la Norma ISO 27001.
La ISO 27002 no es certificable y es un código de buenas prácticas y recomendaciones, que describe los
objetivos de control y controles recomendables en materia de seguridad de la información.
Contenido de ISO 27002
■ 14 áreas de aplicación.
■ 35 objetivos: que son aquellos resultados que se esperan alcanzar mediante la implantación de
controles.
■ 114 controles: todas aquellas prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo.
Objetivos de Control y Controles

Los objetivos de control y los controles enumerados en la norma se derivan directamente de los
enumerados en ISO 27001: 2013. Pero estas listas no son exhaustivas, y una determinada organización
puede considerar que son necesarios objetivos de control y controles adicionales.
Objetivos de Control y Controles
Objetivo de Control: dirigir y dar soporte a la gestión de la seguridad de la

información de acuerdo con los requisitos del negocio y las leyes y
A.5 Política de regulaciones relevantes:
Seguridad
La alta dirección debe definir un conjunto de políticas que reflejen las líneas
(2 controles)
directrices de la organización en materia de seguridad, aprobarlas y publicarlas
de la forma adecuada a todo el personal implicado en la seguridad de la
organización (empleados y partes interesadas).
17
Objetivo de Control: establecer un marco de trabajo de gestión para iniciar
y controlar la implantación y operación de la seguridad de la información
dentro de la organización:
La organización debe definir cada uno de los roles y responsabilidades

A.6 Organización de la implicados, eliminar los conflictos de intereses por medio de la segregación de
Seguridad de la las tareas incompatibles, mantener contactos con las autoridades relevantes con
Información relación al SGSI, mantener vínculos con grupos de interés y foros profesionales
(7 controles) y tratar los riesgos de seguridad de la información en la gestión de proyectos.
Objetivo de Control: proteger el teletrabajo y uso de dispositivos móviles.
Se deben establecer políticas para gestionar los riesgos derivados del uso de
dispositivos móviles y el acceso, procesamiento o almacenamiento de
información desde ubicaciones externas.
Objetivo de Control: asegurar que los empleados y subcontratados

entienden sus responsabilidades y que son adecuadas para sus funciones:
Es necesario sistematizar un método de verificación de la experiencia y

credenciales de acuerdo con la legislación, necesidades del negocio y nivel de
riesgo en función de la información a la que se tendrá acceso. Las
responsabilidades deberán estar formalizadas en un contrato entre ambas
partes.
Objetivo de Control: asegurar que los empleados y subcontratados

A.7 Seguridad de los
conocen y cumplen con sus responsabilidades en materia de seguridad de
Recursos Humanos la información:
(6 controles) Se debe asegurar que los empleados y subcontratistas cumplen con las políticas
y procedimientos de seguridad vigentes, que reciben la adecuada formación y
que son conocedores del procedimiento disciplinario existente en caso de
incumplimiento.
Objetivo de Control: proteger los intereses de la organización como parte

del proceso de cambio de funciones o finalización de la relación
contractual con el empleado o subcontratado:
Las obligaciones y responsabilidades en materia de seguridad de la información,

una vez finalizada la relación laboral o cambio de puesto y que deban seguir
vigentes, se comunicarán al empleado o subcontratista.
18
Objetivo de Control: identificar los activos de la organización y definir
adecuadas responsabilidades para su protección:
Establecimiento de un inventario de los activos asociados con la información e

infraestructura para su procesamiento, detallando propietarios, así como las
normas de uso aceptable y su devolución en caso de finalización de la relación
contractual entre la organización y el empleado u otra parte interesada.
Objetivo de Control: asegurar que la documentación recibe un adecuado

nivel de protección en función de su importancia para la organización:
A.8 Gestión de Activos
La información se clasificará aplicando diferentes criterios (requisitos legales,
(10 controles)
nivel de riesgo, criticidad…) y se procederá a su marcado o etiquetado en
función de las políticas definidas. Además, será necesario establecer
mecanismos para la manipulación de los activos en función de la clasificación
definida.
Objetivo de Control: prevenir la divulgación no autorizada, modificación,

eliminación o destrucción de información almacenada en los medios de
información:
Los medios que contienen información estarán protegidas contra no autorizado

el acceso, el uso indebido o la corrupción durante su transporte.
19
Objetivo de Control: limitar el acceso a la información e infraestructura de
procesamiento de información:
Los medios que contienen información estarán protegidas contra no

autorizado el acceso, el uso indebido o la corrupción durante su
transporte.
Objetivo de Control: asegurar el acceso autorizado y prevenir los accesos

no autorizados a los sistemas y servicios:
Implantación de un proceso formal de registro, modificación y eliminación de

usuarios, incluyendo los permisos y la revisión periódica de los derechos de
A.9 Control de Acceso acceso.
(14 controles) Objetivo de Control: hacer a los usuarios responsables de proteger su

información de autenticación:
Los usuarios deben aplicar las directrices definidas por la organización con
relación al uso de la información secreta para la autenticación.
Objetivo de Control: prevenir el acceso no autorizado a sistemas y

aplicaciones:
Implantación de métodos para restringir el acceso a la información,

procedimientos seguros de inicio de sesión, contraseñas robustas, acceso al
código fuente de los programas y control exhaustivo de las herramientas que
tengan la capacidad de romper las medidas de seguridad de acceso a sistemas
y aplicaciones.
Objetivo de Control: asegurar el uso adecuado y efectivo de la criptografía

A.10 Criptografía para proteger la confidencialidad, autenticidad y / o integridad de la
información:
(2 controles)
Definir una política de uso de controles criptográficos y uso de claves.
20
Objetivo de Control: prevenir el acceso físico no autorizado, daños e
interferencias en la información e infraestructuras de procesamiento de
información de la organización.
Establecimiento de un perímetro de seguridad con controles físicos de entrada.

A.11 Seguridad Física y Existencia de protección contra amenazas ambientales (fuego, agua,
Ambiental temperatura) en las zonas seguras, oficinas y salas con infraestructura.
(15 controles) Objetivo de Control: evitar la pérdida, daño, robo de los activos y la
interrupción de las operaciones de la organización.
Implantación de políticas para la protección de los equipos, suministro eléctrico y

cableado, así como su mantenimiento, reutilización o eliminación. Además se
requiere la definición de políticas en caso de equipo desatendidos por el usuario
y mesas y escritorio limpios.
21
Objetivo de Control: confirmar que la infraestructura de procesamiento de
la información opera de forma segura y correcta.
Aplicación de documentos que describan los procedimientos operacionales, la

gestión de cambios, gestión de la capacidad y la separación de los entornos de
desarrollo, pruebas y producción.
Objetivo de Control: asegurar que la información y la infraestructura de

procesamiento de la información están protegidas frente a malware.
Objetivo de Control: protección frente a pérdida de datos.
Objetivo de Control: registrar eventos y generar evidencias.
A.12 Seguridad de las Se requiere registrar las actividades de los usuarios y sistemas, así como fallos
Operaciones y eventos que atenten contra la seguridad de la información.
(14 controles)
Objetivo de Control: asegurar la integridad de los sistemas operacionales.
Objetivo de Control: prevenir la explotación de las vulnerabilidades

técnicas.
La organización debe conocer el grado de exposición frente a vulnerabilidades

técnicas de sus sistemas de información, así como implantar políticas para la
instalación restringido de software.
Objetivo de Control: minimizar el impacto de las actividades de auditoría

en los sistemas operacionales.
Las actividades de auditoría de los sistemas de información deben estar

cuidadosamente planificadas y con el objeto de minimizar las interrupciones en
los procesos del negocio.
22
Objetivo de Control: asegurar la protección de la información en redes de
comunicaciones y en sus recursos de procesamiento de soporte.
Se deben aplicar medidas de seguridad en la red para proteger la información

A.13 Seguridad de las en sistemas y aplicaciones. Estos requerimientos se tienen que evidenciar en los
Comunicaciones contratos con las empresas que presten servicios de red.
(7 controles) Objetivo de Control: mantener la seguridad en la información transferida

entre la organización y cualquier entidad externa.
Definición de políticas, procedimientos y controles formales para gestionar la

transferencia con independencia del tipo e infraestructura que se use. Estos
requisitos se deberán plasmar en los contratos y acuerdos de confidencialidad.
A.14 Adquisición,
Desarrollo y
Objetivo de Control: garantizar que la seguridad de la información es parte
Mantenimiento de integral de todo el ciclo de vida de los sistemas de información.
sistemas
Esto también incluye los requisitos para los sistemas de información que
(13 controles) proporcionan servicios sobre de redes públicas.
Objetivo de Control: garantizar que la seguridad de la información forma

parte del diseño e implantación del ciclo de vida de los sistemas de
información.
A.14 Adquisición,
Desarrollo y
Mantenimiento de Formalización de políticas de desarrollo seguro de software y sistemas,
sistemas incluyendo procedimientos de control de cambios, revisión técnica después del
despliegue de los cambios, restricción de cambios en los paquetes de software,
(13 controles) pruebas de seguridad, etc.
Objetivo de Control: asegurar la protección de los datos usados durante

las pruebas.
Objetivo de Control: asegurar la protección de los activos de la

organización que son accesibles por proveedores.
Los requisitos de seguridad para la mitigación de los riesgos asociados por el

A.15 Relaciones con
proveedores acceso de terceros deben estar documentados y acordados con el proveedor,
incluyendo todos los escenarios aplicables (acceso, procesamiento,
(5 controles) almacenamiento, comunicación o suministro de infraestructura TI).
Objetivo de Control: mantener el nivel de seguridad de la información y la

prestación de los servicios de acuerdo con los acuerdos con los
proveedores.
23
Objetivo de Control: garantizar un enfoque coherente y eficaz para la
A.16 Gestión de los
Incidentes de gestión de los incidentes de seguridad de la información, incluyendo la
Seguridad de la comunicación de eventos de seguridad y las debilidades.
Información
Necesidad de establecer responsabilidades y procedimientos para la
(7 controles) notificación, reporte, evaluación, tratamiento, aprendizaje y registro de los
incidentes, debilidades y eventos de seguridad de la información.
Objetivo de Control: la continuidad de la seguridad de la información debe

A.17 Aspectos de estar incluida en los sistemas de gestión de la continuidad del negocio.
Seguridad de la
Información de la La organización debe determinar sus requisitos de seguridad de la información y
Gestión de la continuidad del negocio en situaciones adversas, por ejemplo durante una crisis
Continuidad del o desastre, documentando procedimientos de actuación y definiendo
Negocio
mecanismos para verificar, revisa y evaluar su eficacia.
(4 controles)
Objetivo de Control: asegurar la disponibilidad de las infraestructuras de
procesamiento de la información.
Objetivo de Control: evitar incumplimientos de las obligaciones legales,

estatutarias, reglamentarias o contractuales en materia de seguridad de la
información y cualquier requisito de seguridad.
A.18 Cumplimiento
Se deberán contemplar obligaciones en materia de privacidad y protección de
(8 controles) datos de carácter personal, propiedad intelectual, criptografía, registros, etc.
Objetivo de Control: asegurar que la seguridad de la información se

implanta y opera de acuerdo con las políticas y procedimientos de la
organización.
24
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
25
ACTITUD
CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN
Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.
La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.
Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.
No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.
26
NOTAS
27
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com

 Bureau Veritas Formación, S.A. Unipersonal
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
28
ll
Comprender las Necesidades y Expectativas de

la Organización: Liderazgo y Compromiso de la
Alta Dirección

COMPRENDER LAS NECESIDADES Y EXPECTATIVAS DE LA ORGANIZACIÓN:
LIDERAZGO Y COMPROMISO DE LA ALTA DIRECCIÓN
Para el desarrollo de esta competencia, será necesario conocer y ser capaz interpretar los requisitos de la ISO
27001:2013 en su capítulo 4 y 5, Contexto de la Organización y Liderazgo, que señalan los requisitos que deben cumplir
los niveles directivos de una organización que implanta un Sistema de Gestión de la Seguridad de la Información de
acuerdo con la ISO 27001:2013.
CONOCIMIENTOS
Contextualizar el Capítulo 4 y 5 de la Norma ISO Reconocer el Liderazgo y Compromiso que debe Asumir
27001:2013. la Dirección
Entender las Necesidades y Expectativas de la Identificar los Principales Aspectos de la Política de
Organización y de su Contexto. Seguridad de la Información
Determinar el Alcance del Sistema de Gestión de Definir de forma Correcta Aspectos Clave como Roles,
Seguridad de la Información Responsabilidades y Autoridades en la Organización.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los conocimientos
profesionales:
Trabajo Individual: Identificar los activos de la organización y definir las responsabilidades de protección adecuadas. A
realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Asegurar que la información recibe el nivel adecuado de protección de acuerdo con en la Norma ISO
27001:2013. A realizar a lo largo del Módulo/Curso.
Debate: Valorar la eficacia del Sistema de Gestión de Seguridad de la Información en una organización. A realizar a lo
largo del Módulo/Curso.
ACTITUD
Orientación al Logro.
AUTOEVALUACIÓN
Contextualización del Capítulo 4 y 5 de la Norma ISO
Liderazgo y Compromiso.
27001:2013.
Necesidades y Expectativas de la Organización. Política de Seguridad de la Información.
Alcance del Sistema de Gestión de Seguridad de la Roles, Responsabilidades y Autoridades en la
Información. Organización.
Comprender las Necesidades y Expectativas de la Organización: Liderazgo y Compromiso de la Alta Dirección
2
CONTEXTUALIZACIÓN DEL CAPÍTULO 4 Y 5 DE LA NORMA ISO 27001:2013
En el capítulo 4, la Norma describe los requisitos generales de un Sistema de Gestión de la Seguridad de
la Información y sus procesos así como nuevos requisitos de conocimiento y contexto de la
organización, comprensión de necesidades y expectativas de las partes interesadas y determinación del
alcance del sistema de gestión de seguridad de la información.
Por otra parte en el capítulo 5, la Norma describe y establece las responsabilidades de la dirección dentro
de un Sistema de Gestión de la Seguridad de la Información. Los requisitos de esta sección hacen
referencia a las responsabilidades de la organización en todas aquellas cuestiones tanto internas como
externas relevantes para la seguridad de la información.
- Liderazgo.
- Compromiso
- Roles y Autoridades.
3
Los capítulos 4 y 5 de la ISO 27001:2013 se componen de los siguientes apartados:
4. Contexto de la Organización.
4.1 Comprensión de la organización y de su contexto.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
4.3 Determinación del alcance del sistema de gestión de la calidad.
4.4 Sistema de gestión de seguridad de la información.
5. Liderazgo.
5.1 Liderazgo y compromiso.
5.2 Política.
5.3 Roles, responsabilidades, y autoridades en la organización
Comprensión de la Organización y de su Contexto

La nueva versión de ISO 27001 contextualiza a la organización dentro del entorno empresarial, es decir,
requerirá a las organizaciones tener un profundo conocimiento de las cuestiones tanto internas como
externas y que pueden afectar a su capacidad para lograr los resultados previstos de su sistema de
gestión de seguridad de la información.
Requisitos Exigidos por la Norma
■ La organización debe:
■ Tener un conocimiento de la organización y de su contexto.
■ Determinar las cuestiones externas e internas pertinentes para su propósito y su dirección

estratégica, y que afectan su capacidad para lograr los resultados previstos de su Sistema de
Gestión de Seguridad de la Información.
■ Realizar el seguimiento y revisión de la información sobre estas cuestiones externas e internas.
4
El conocimiento del contexto externo puede verse facilitado al considerar cuestiones que surgen de los
entornos legal, tecnológico, competitivo, de mercado, cultural, social y económico, ya sea
internacional, nacional, regional o local.
5
COMPRENSIÓN DE LAS NECESIDADES Y EXTECTATIVAS DE LAS PARTES
INTERESADAS
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.2.
■ La organización debe:
■ Determinar las partes interesadas que son pertinentes para el SGSI.
■ Determinar los requisitos de estas partes interesadas que son relevantes para la seguridad de la
información.
6
Debido a su impacto potencial sobre la capacidad de la organización los requisitos de las partes interesadas
relevantes para la seguridad de la información, pueden incluir requisitos legales y regulatorios, y también
obligaciones contractuales.
Este nuevo requisito da la posibilidad a la organización de integrar los aspectos del negocio a la gestión del
Sistema de Gestión de la Seguridad de Información, evitando que el SGSI se desconecte de la estrategia de
la organización.
Claves de la Identificación de las Partes Interesadas
La identificación de otras partes interesadas permite:
■ Potenciar la integración de la ISO 27001 con la gestión del medioambiente a través de la ISO 14001
identificando como partes interesadas la sociedad, la administración, y con la ISO 9001 de gestión
de la calidad en relación a clientes y proveedores.
■ Fortalecer el contenido y sentido de la política de la seguridad de la información al mirar más allá de

los clientes directos.
Es crucial la participación de la Alta Dirección junto con el resto de los miembros de su dirección al momento
de decidir qué partes interesadas se incorporarán al sistema, siendo esta actuación el enlace de las
actividades requeridas en la cláusula 5 sobre el Liderazgo y Compromiso de la Dirección.
Esta identificación también debe hacerse desde el punto de vista de los potenciales impactos que
pudieran tener algunos grupos de interés sobre el sistema de gestión, permitiendo así su gestión proactiva
a través del enfoque al riesgo requerido, definiendo planes de actuación convenientes.
Una vez identificadas las partes interesadas, dentro del marco de los límites y alcance (Cláusula 4.2), la
organización debe determinar los requisitos de estas partes interesadas pertinentes para el SGSI, para
planificar los procesos asociados y ejercer su seguimiento y control con vistas a su satisfacción y mejora.
Dado el carácter cambiante de los escenarios, de manera sostenida la organización debe realizar el
seguimiento y la revisión de la información sobre estas partes interesadas y sus requisitos
pertinentes, sustentando la planificación de cambios y garantizando de esta manera el requisito de
idoneidad y adecuación del SGSI.
7
DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.3.
La organización debe:
■ Determinar los límites y la aplicabilidad del SGSI para establecer su alcance.
■ Considerar las cuestiones externas e internas referidas en 4.1, valorar los requisitos de las partes
interesadas pertinentes referidos en 4.2 y analizar las actuaciones desarrolladas por la organización.
En relación con la cláusula 4.3, la organización debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance de manera clara y precisa.
La intención del requisito es que las partes interesadas, así como los organismos de certificación conozcan
sin ambigüedades el campo de actuación del sistema de gestión y la capacidad para cumplir requisitos
establecidos evitando confusiones y malentendidos.
Deben considerarse el contexto de la organización, las actividades y acciones objeto del SGSI.
Aspectos Beneficiosos para el Sistema de Gestión de Implantación del SGSI
■ Diferenciación de la competencia.
■ Mejor posicionamiento en ofertas y licitaciones.
■ Mejores comunicaciones con las partes.
■ Identificación de requisitos de partes interesadas pertinentes precisos y su mejor gestión.
■ Identificación de requisitos legales y reglamentarios de aplicación precisos.
■ Aumento de la satisfacción de todas las partes identificadas, sin olvido u omisión de ninguna de
ellas.
8
En cuanto a la aplicabilidad y/o exclusión de cláusulas, la Norma establece:
■ El alcance debe venir fijado por las necesidades, objetivos, requisitos de seguridad, procesos
organizativos utilizados y su tamaño y estructura, y proporcionar la justificación para cualquier requisito
de esta Norma Internacional.
■ La conformidad con esta Norma Internacional sólo se puede declarar si los requisitos determinados
como no aplicables, no afectan a las cuestiones internas o externas que afecten a la capacidad de la
organización para lograr los resultados previstos en el SGSI.
Alcance
El alcance debe estar disponible para las partes interesadas y mantenerse como información
documentada, estableciendo:
■ Las cuestiones internas y externas referidas a la comprensión de la organización y su contexto.
■ Los requisitos de las partes interesadas relevantes para la seguridad de la información.
■ Las interfaces y dependencias entre las actividades realizadas por la organización y las que se
realizan por otras organizaciones.
El alcance debe estar disponible como información documentada.
Ejemplo
La empresa AVITT está construyendo una nueva fábrica para producir

ordenadores, como subcontratista de una multinacional.
Su único cliente, tiene la responsabilidad y la autoridad sobre el diseño del

producto. El cliente proporciona a AVITT las especificaciones de fabricación,
siendo además responsable de notificarle cualquier cambio en el diseño y de
proporcionar la información apropiada sobre el cambio.
Situación
Por su parte, AVITT es responsable de comprar todos los componentes y de
realizar la fabricación.
AVITT, en el desarrollo de su SGSI, ha excluido los requisitos del apartado 7. 5

“Información Documentada”, ya que considera las especificaciones de diseño
como un producto proporcionado por el cliente y, por lo tanto, controla este
aspecto de acuerdo con el apartado 7.5.3 “Control de la Información
Documentada” de la Norma ISO 27001:2013.
9
¿Puede AVITT excluir el apartado 7.5 “Información Documentada” de su SGSI y
Pregunta
aun así declarar conformidad con la Norma ISO 27001:2013?.
Efectivamente, la decisión de AVITT de excluir el apartado 7.5 “Información

Documentada” de su SGSI está justificada, ya que no tiene ninguna autoridad ni
Análisis y Conclusión
responsabilidad sobre la información del diseño del ordenador como producto. Al
ser su cliente quien proporciona el diseño.
Sistema de Gestión de Seguridad de la Información

La organización debe establecer, implementar, mantener y mejorar continuamente un SGSI, incluidos
los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional.
Con carácter general, la organización debe:
■ Determinar los procesos necesarios para el Sistema de Gestión de Seguridad de la Información y su

aplicación en toda la organización.
■ Tener un conocimiento de la organización y de su contexto.
■ Comprender de las necesidades y expectativas de las partes interesadas.
■ Delimitar el alcance del Sistema de Gestión de la información.
■ Dentro del Sistema de Gestión de Seguridad de la Información y sus procesos, determinar:
 Los elementos de entrada requeridos y los elementos de salida esperados.

 Su secuencia e interacción.
 Los criterios, métodos, incluyendo el seguimiento, mediciones y los indicadores de desempeño

necesarios para asegurar su operación eficaz y su control.
 Los recursos necesarios y asegurarse de su disponibilidad.
 La asignación de responsabilidades y autoridades.
 Los riesgos y oportunidades.
 La evaluación de los procesos e implementar cualquier cambio necesario para asegurarse de

que estos procesos logran los resultados previstos, y los métodos para realizar el seguimiento,
mediciones y evaluaciones de los procesos.
 Oportunidades de mejora de los procesos y del SGSI.
10
Dado el enfoque de la Norma que diferencia todas las partes de la organización en procesos, se pueden
estudiar y hacer que prospere cada una de las partes, de manera que, si mejora cada uno de los
procesos de forma independiente, conlleve una optimización de todo el conjunto de la organización.
Para lograr estos fines, la organización debe disponer de los recursos ya la información adecuada,
obtenidos mediante el estudio, medición y análisis de los resultados de cada proceso, para actuar tanto
sobre las operaciones realizadas por la propia organización como para aquellas que se contraten con el
exterior.
11
LIDERAZGO Y COMPROMISO
El liderazgo y compromiso adquirido por la dirección de la organización en la implantación de cualquier tipo
de reforma o innovación va a ser uno de los pilares principales que marcarán su éxito o fracaso, por ello la
Norma establece los deberes de la alta dirección a la hora de implantar un Sistema de Gestión de
Seguridad de la Información.
Toda la filosofía en la que se basa un Sistema de Gestión de Seguridad de la Información y la mejora

continua del proceso, no aporta ningún beneficio a corto plazo, sino que sus efectos y beneficios se
observan a lo largo del tiempo, por lo que exige un esfuerzo continuado por parte de todos los miembros
Responsabilidades de la Dirección
La dirección de la organización, en su actitud a la hora de liderar la misma, es la responsable de que ésta
alcance los objetivos marcados con respecto al Sistema de Gestión de Seguridad de la Información, por lo
que es imprescindible su implicación para mantener un ambiente de trabajo, en el cual el personal se vea
totalmente involucrado en la consecución de los propósitos de la organización.
En este punto de la Norma, se hace especial énfasis sobre el liderazgo y compromiso de la dirección
con el funcionamiento del Sistema de Gestión de Seguridad de la Información, refiriéndose a que la
alta dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación, así como
con la mejora continua de su eficacia.
12
Como buen sistema de gestión, la norma ISO 27001 deja bien definidas las obligaciones de la alta dirección
ya que el éxito del sistema sólo se puede conseguir a través de un serio compromiso de la misma, que lo
puede hacer patente comunicando a la organización la importancia de una gestión eficaz y conforme
con los requisitos del Sistema de Gestión de Seguridad de la Información.
Asegurándose de que se establecen los objetivos previstos y estableciendo un sistema con recursos
suficientes para lograr dichos objetivos entre otros requisitos establecidos en la cláusula 5.1 Liderazgo y
compromiso para el sistema de seguridad de la información.
Los sistemas de planificación que plantea la ISO 27001: 2013 permiten prever de antemano los resultados
de los procesos y las posibilidades que tienen a lo largo del tiempo, es decir, la probabilidad de
improvisaciones, fallos y sucesos inesperados se disminuyen.
Además de todas estas obligaciones prácticas, la alta dirección tiene que influir en la implicación y
motivación del resto de componentes de la organización, y transmitirles la importancia del sistema de
gestión, de los clientes y de la importancia de lograr los objetivos fijados.
La alta dirección mediante su capacidad para liderar la organización, debe transmitir un ambiente en el
que todos sus miembros se encuentren totalmente involucrados, lo que facilitará que el Sistema de
Gestión de Seguridad de la Información funcione con eficacia.
13
5.1.1 Generalidades
A continuación se presentan los requisitos exigidos por la norma en el punto 5.1. Generalidades
La revisión y ajuste de la cláusula responsabilidad de la Dirección introduce como cambio fundamental y

profundo la adición al “compromiso de la dirección” ya requerido en las versiones anteriores del requisito
“Liderazgo” Siendo ahora importante la adopción de un enfoque y una mayor participación por parte de la
Alta Dirección en su relación con el SGSI.
14
Liderazgo y Compromiso. El Nuevo Requisito Exigido por la Norma
La alta dirección tendrá ahora un papel decisivo dentro de la ISO 27001 demandándosele un papel activo
en impulsar el SGSI.
Términos y Enfoques
Términos y enfoques como:
■ “Promover”,
■ “Comunicar”,
■ “Asegurar”,
■ “Dirigir” o
■ “Apoyar”
deberán ser adoptados por la Alta Dirección lo que implica que dichas actividades no debe ni pueden
delegarse. Estos elementos aparecen en los nuevos requisitos respecto de la versión anterior de la
Norma, tales como:
■ Asegurar la integración de los requisitos del Sistema de Gestión de Seguridad en los procesos de la
organización.
■ Comunicar la importancia de una gestión de la seguridad de la información eficaz y conforme con

los requisitos del sistema de gestión de seguridad de la información.
■ Asegurar que se sigue la política y los objetivos de seguridad de la información, y que sean
compatibles con la dirección estratégica de la organización.
■ Dirigir y apoyar a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la
información.
■ Asegurar que los recursos necesarios para el SGSI estén disponibles.
■ Asegurar que el sistema de gestión de seguridad de la información consigue los resultados

previstos.
■ Promover la mejora continua.
■ Apoyar a otros roles pertinentes de la dirección, para que demuestren su liderazgo.
La Alta Dirección debe ser consciente de los nuevos requisitos y que ahora será auditada con mayor
intensidad para evidenciar su Compromiso y Liderazgo.
15
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La política de seguridad de la información la establece la alta dirección y constituye la base del Sistema de
Gestión de la Seguridad de la Información.
Normas y procedimientos que permiten regular el uso de la información de una organización, evitando
riesgos, deterioros o el uso no autorizado en el acceso a la información y disponible y ayuda a la
organización a emplear adecuadamente sus recursos para alcanzarlos.
La alta dirección debe establecer una política de seguridad de la información que:
Sea adecuada al propósito de la organización.

Incluya objetivos de seguridad de información o proporcione un marco de referencia para el establecimiento
de los objetivos de seguridad de la información.
Incluya el compromiso de cumplir con los requisitos aplicables a la seguridad de la información.
Incluya el compromiso de mejora continua del sistema de gestión de seguridad de la información.
La política de la seguridad de la información debe estar disponible como información documentada y

comunicada, de modo que sea conocida por todo el personal, dejando claro cuáles son sus objetivos, el
modo de alcanzarlos y los valores en cuanto a ética, profesionalidad necesarios para alcanzar los
propósitos marcados.
La dirección debe asegurarse de que los principios expuestos son practicados y su vigencia se
mantiene por todos los empleados, incluida la cadena de mando.
La Política de la Seguridad de la Información Debe:
Estar disponible como información documentada.
Comunicarse dentro de la Organización.
Estar disponible para las partes interesadas, según sea apropiado.
DOCUMENTO PARA LA DESCARGA (a través de la Plataforma)

Navegando por esta Unidad de Competencia, se puede descargar un ejemplo de
Política de Seguridad de la Información.
16
ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN
En toda organización es preciso establecer y definir de modo claro la jerarquía de autoridad y las
responsabilidades de cada uno de sus miembros así como un buen método de comunicación interna para
que el Sistema de Gestión de Seguridad de la Información se desarrolle de un modo eficaz.
A la hora de realizar las actividades y de que la organización funcione de manera adecuada, tanto
responsabilidades como los grados de autoridad deben estar perfectamente definidos.
Para ello, la norma establece que la alta dirección debe asegurarse de que las responsabilidades y
autoridades están asignadas para los roles pertinentes y son comunicadas y entendidas dentro de la
organización.
Por todo ello, es imprescindible determinar con claridad las funciones que componen los procesos de
operación y gestión, y asignar cada uno de ellos a una persona concreta, de modo que ninguna función
quede sin asignar o que pueda ser desarrollada por más de una persona.
Para lograr que este sistema proporcione buenos resultados es necesaria una formación adecuada, una
buena comunicación interna y una acusada participación de los trabajadores.
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la
seguridad de la información se asignen y comuniquen dentro de la organización.
Asimismo, la alta dirección debe asignar la responsabilidad y autoridad para:
■ Asegurarse de que el Sistema de Gestión de Seguridad de la Información es conforme con los

requisitos de esta Norma Internacional.
■ Informar a la alta dirección sobre el comportamiento del Sistema de Gestión de Seguridad de la
información.
17
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
DEBATE
18
ACTITUD
ORIENTACIÓN AL LOGRO-TENACIDAD
Mantenerse firmes en los comportamientos y conductas hasta alcanzar el objetivo propuesto.
Las personas tenaces son aquellas que ante las dificultades que puedan surgir, poco a poco van superando
las adversidades, con firmeza, perseverancia y constancia, y de esta manera cumplirán con los objetivos
propuestos.
Para todas aquellas personas que son constantes y tenaces siempre hay una recompensa, aunque la tarea
sea muy complicada, ya que con esfuerzo y dedicación todos los objetivos son posibles.
La orientación al logro viene determinada porque una persona cree que su objetivo es posible de conseguir
y lo intenta alcanzar.
En las empresas, es habitual encontrar personas que poseen amplios conocimientos y habilidades, pero
estos trabajadores pueden encontrarse con problemas para desarrollar una vida profesional exitosa, porque
al primer obstáculo que encuentran y que no son capaces de superar, se desaniman.
Es un caso muy similar al del deporte, hemos visto jóvenes deportistas que a los 17-18 años se les ve unas
cualidades tanto técnicas como atléticas muy buenas, y se dice que con esas condiciones llegarán muy
lejos y triunfarán, pero muchas veces estas predicciones no se cumplen, porque no saben competir.
Por tanto, su comportamiento para alcanzar el logro es nulo y posiblemente otro deportista a priori con unas
condiciones físicas y técnicas más limitadas llegará más lejos porque sabe rendir y competir en el momento
adecuado y adaptar su estado emocional al momento clave, en este caso la competición.
Igual sucede en la empresa, ya que no es lo mismo una presentación ante un equipo de trabajo compuesto
por un reducido número de personas y conocidas que hacer una presentación ante 500 personas y donde el
profesional se juega su propio prestigio, en este momento las ansiedades y emociones influyen. Por tanto
actitudes claves como la constancia, perseverancia y tenacidad le ayudarán a superar las dificultades y
miedos que se pudieran plantear.
19
902 350 077
formacion@bvbs.es
Conocer las Necesidades y Expectativas de la Organización:

Liderazgo y Compromiso de la Alta Dirección
 Bureau Veritas Formación, S.A. Unipersonal
ll
La Planificación y la Gestión de Recursos para el

Sistema de Gestión de Seguridad de la
Información

LA PLANIFICACIÓN Y LA GESTIÓN DE RECURSOS PARA EL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Para el desarrollo de esta competencia, será necesario analizar y comprender la planificación y la gestión
de los recursos que debe cumplir el SGSI de una organización, que implanta un sistema de gestión de
seguridad de la información conforme a ISO 27001:2013.
CONOCIMIENTOS
Contextualizar el Capítulo 6 de la Norma. Conocer los Requisitos de Recursos.
Identificar las Acciones para Tratar los Riesgos y las Identificar los Requisitos de Competencia y Toma de
Oportunidades. Conciencia.
Analizar el Capítulo 7 de la Norma. Comunicar y Distinguir la Información Documentada.
ACTITUD
Gestión Eficiente.
AUTOEVALUACIÓN
Contextualizar el Capítulo 6 de la Norma Requisitos de Recursos
Acciones para Tratar los Riesgos y las Oportunidades Competencia y Toma de Conciencia
Análisis del Capítulo 7 de la Norma Comunicación e Información Documentada
La Planificación y la Gestión de Recursos para el Sistema de Gestión de Seguridad de la Información
2
CONTEXTUALIZACIÓN DEL CAPÍTULO 6 DE LA NORMA
En la sección 6, la Norma describe y establece los requisitos de planificación y actuación dentro de un
sistema de gestión de seguridad de la información.
Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe considerar las

cuestiones internas y externas que conforman el contexto de la organización, y los requisitos de las partes
interesadas relevantes para la seguridad de la información, y determinar los riesgos y oportunidades que es
necesario tratar con el fin de:
■ Asegurar que el SGSI pueda conseguir sus resultados previstos.
■ Prevenir o reducir efectos indeseados.
■ Lograr la mejora continua.
La sección 6 de la ISO 27001 contiene las siguientes cláusulas:
6. Planificación para el sistema de gestión de seguridad de la información
6.1 Acciones para tratar los riesgos y oportunidades
6.1.1 Consideraciones Generales.
6.1.2 Apreciación de Riesgos de Seguridad de la Información
6.1.3 Tratamiento de Riesgos de Seguridad de la Información
6.2 Objetivos de seguridad de la información y planificación para su consecución.
Para que una planificación esté bien elaborada y resulte eficaz se deben cumplir unos determinados
parámetros que permitirán que los resultados que se han planteado, se pueden cumplir satisfactoriamente.
3
Aspectos Claves de la Planificación
■ Plantear las estrategias adoptadas por la organización.
■ Conocer los objetivos definidos por la organización en materia de seguridad de la información.
■ Definir las necesidades y expectativas, tanto actuales como futuras para las partes interesadas.
■ Evaluar los datos procedentes de las acciones planteadas en los procesos del sistema de gestión
de seguridad de la información.
Cuando se hace la planificación, para intentar alcanzar los objetivos de seguridad de la información
previstos.
■ Se deben establecer plazos para conseguir los objetivos en un tiempo determinado, siendo
recomendable desglosarlos para los distintos niveles de la organización señalando las metas concretas
que ha de alcanzar cada uno con relación a los totales, y se establecen objetivos concretos para cada
uno de los procesos.
■ Los objetivos de seguridad de la información, además de estar perfectamente definidos, han de

estarlo para todos los niveles y secciones de la organización.
El hecho de no alcanzar alguno de estos objetivos debe suponer una revisión de los procedimientos
elaborados para ello, ya que se pretende conseguir una mejora que únicamente se verá satisfecha a través
de una rigurosa planificación de las actividades que permitirá cambios en el modo de obtenerlas sin que ello
conlleve la alteración de los objetivos finales.
4
6.1 ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES
La organización debe asumir la responsabilidad de planificar el sistema de gestión de seguridad de la

información para lograr conseguir sus metas y cumplir sus objetivos y las acciones para tratar los riesgos y
oportunidades.
Al planificar el SGSI, la organización debe considerar las cuestiones internas y

externas de la organización que afectan a su capacidad para lograr los
resultados previstos de su sistema de gestión y los requisitos de las partes
interesadas relevantes para la seguridad de la información, y determinar los
Consideraciones riesgos y oportunidades que es necesario tratar con el fin de:
Generales (I)
■ Asegurar que el SGSI pueda conseguir sus resultados previstos.
■ Prevenir o reducir efectos indeseados.
■ Lograr la mejora continua.
■ La organización debe planificar:
Consideraciones ■ Las acciones para tratar estos riesgos y oportunidades

Generales (II)
■ La manera de a) integrar e implementar las acciones en los procesos del
SGSI y b) evaluar la eficacia de estas acciones.
Apreciación de Riesgos de Seguridad de la Información

La organización debe definir y aplicar un proceso de apreciación de riesgos de seguridad de la información
que establezca y mantenga criterios sobre riesgos de seguridad de la información incluyendo:
■ Los criterios de aceptación del riesgo

■ Los criterios para llevar a cabo las apreciaciones de los riesgos de seguridad de la información.
La organización también debe asegurarse que las sucesivas apreciaciones de los riesgos de seguridad de
la información generan resultados consistentes, válidos y comparables.
5
Identificación de los Riesgos de Seguridad de la Información
La organización tiene que identificar los riesgos de seguridad de la información:
■ Llevando a cabo el proceso de apreciación de riesgos de seguridad de la información para identificar

los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información
en el alcance del Sistema de Gestión de Seguridad de la Información.
■ Identificando a los dueños de los riesgos.
Análisis y Evaluación de los Riesgos
Cuando la dirección analice los riesgos de seguridad de la información tiene que valorar:
■ Las posibles consecuencias que resultarían si los riesgos de seguridad identificados llegan a
materializarse.
■ De forma realista la probabilidad de ocurrencia de los riesgos identificados.
■ Y debe evaluar los riesgos de la seguridad de la información:
■ Comparando los resultados del análisis de riesgos con los criterios de riesgos establecidos en la
apreciación de los riesgos de seguridad de la información.
■ Priorizando el tratamiento de los riesgos analizados.
La organización debe conservar información documentada sobre el proceso de apreciación de riesgos de

Tratamiento de Riesgos de Seguridad de la Información

La organización debe definir y efectuar un proceso de tratamiento de riesgos de seguridad de la información
para:
■ Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo

en cuenta los resultados de la apreciación de los riesgos.
6
■ Determinar todos los controles que sean necesarios para implementar las opciones elegidas de
tratamiento de riesgos de seguridad de la información.
Diseño de Controles
Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de cualquier
fuente., y también pueden:
■ Comparar los controles determinados e implementados con los del anexo a y comprobar que no se
han omitido controles necesarios.
■ Los objetivos de control se incluyen implícitamente en los controles seleccionados, tanto los
objetivos de control como los controles enumerados en el anexo a no son exhaustivos, por lo que
pueden ser necesarios objetivos de control y controles adicionales.
■ Elaborar una declaración de aplicabilidad que contenga los controles necesarios y la justificación de
las inclusiones, estén implementadas o no, y la justificación de las exclusiones de los controles del
anexo A.
■ Formular un plan de tratamiento de riesgos de seguridad de la información y obtener la aprobación

del plan de tratamiento de riesgos de la seguridad de la información, y la aceptación de los riesgos
residuales de seguridad por parte de los dueños de los riesgos.
La apreciación de los riesgos de seguridad de la información y el proceso de tratamiento recogido en esta

Norma Internacional se alinean con los principios y directrices genéricas definidos en la Norma ISO 31000.
7
ANALIZAR EL CAPÍTULO 7 DE LA NORMA
En el capítulo 7, la Norma describe y establece las responsabilidades de la dirección para la definición y el

suministro de los recursos necesarios para el sistema de gestión de seguridad de la información.
La sección 7 de la ISO 27001:2013 contiene las siguientes cláusulas:
7 Soporte
7.1 Recursos.
7.2 Competencia.
7.3 Concienciación
7.4 Comunicación.
7.5 Información Documentada.
7.5.1 Consideraciones Generales.
7.5.2 Creación y actualización.
7.5.3 Control de la Información Documentada.
8
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,

implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información.
La alta dirección debe asegurarse de que los recursos necesarios tanto para la implantación de las
estrategias planificadas como para el logro de los objetivos de la organización, estén totalmente
identificados y la organización dispone de ellos.
También se tratarán de igual modo los recursos para el desarrollo y mejora del Sistema de Gestión de
Seguridad de información, así como para la satisfacción de las partes interesadas. Entre los recursos más
importantes que una organización debe de tener en cuenta, cabe destacar los siguientes:
Recursos a Tener En Cuenta
La información debe ser tratada como un recurso y como tal debe ser gestionado
por la dirección, la cual debería de emplearla como instrumento para la
mejora continua y para tomar decisiones.
Cómo Gestionar Adecuadamente La Información
■ Recursos tangibles tales como mejores instalaciones de realización

y apoyo.
Información ■ Recursos intangibles tales como la propiedad intelectual.
■ Recursos y mecanismos para alentar la mejora continua

innovadora.
■ Estructuras de organización, incluyendo la gestión de proyectos.
■ Gestión de la información y tecnología.
■ Incremento de la competencia del personal a través de la

formación, educación y aprendizaje dirigidos.
9
EJEMPLO DE UN EXPERTO
René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Ediciones Deusto. ISBN: 84-234-4406-0
Esta viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica de forma muy clara
que todo el personal de una organización es importante para su correcto funcionamiento. Una buena
gestión de los recursos humanos permite a las organizaciones alinear su productividad con un mercado
cambiante, que pone al hombre como único ser capaz de analizar los cambios, ajustes, e innovaciones
necesarias a fin de adaptarse a las necesidades y demandas del cliente.
10
7.2 COMPETENCIA Y 7.3 CONCIENCIACIÓN
Debido a la importancia que las personas tienen en el desarrollo del Sistema de Seguridad de la
Información, la organización debe tener especial cuidado en cuanto su formación, su toma de conciencia y
su competencia en las tareas que debe desempeñar.
En cuanto a este tema la Norma expone lo siguiente:
La organización debe determinar la competencia que resulta necesaria para las personas
que realizan, bajo su control, un trabajo que afecta a su desempeño en la seguridad de la información
y:
■ Asegurarse que estas personas sean competentes, con base en la educación, formación o
experiencia adecuadas;
■ Dónde sea aplicable, poner en marcha acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones adoptadas
■ Conservar la información documentada apropiada como evidencia de la competencia.
Las acciones aplicables pueden incluir, por ejemplo, la formación, la tutoría o la reasignación de las
personas empleadas actualmente; o la contratación de personas competentes.
La organización debe estudiar con detenimiento las actividades que es necesario desempeñar para cumplir
con sus objetivos, a continuación debe establecer el perfil adecuado para las personas que desempeñen
cada una de las tareas.
De este modo se seleccionará a la persona más adecuada para cada puesto y se determinará cuál es la
formación que le falta para cumplir plenamente con los requisitos, dicha formación será proporcionada,
evaluando su eficacia y quedando recogida en los registros adecuados (información documentada), como
queda reflejado en el siguiente esquema:
11
El conocimiento por parte de las personas de su puesto de trabajo es clave para que el sistema tenga éxito,
y para ello es imprescindible detectar las carencias existentes en cada miembro de la organización y
buscar el modo de erradicarlas a través de la formación adecuada, se busca que las personas conozcan
la mejor forma de hacer las cosas.
12
Las personas que trabajan bajo el control de la organización deben ser conscientes de:
■ La política de la seguridad de la información.
■ Su contribución a la eficacia del SGSI, incluyendo los beneficios de una mejora del desempeño en
seguridad de la información
■ Las implicaciones de no cumplir con los requisitos del SGSI.
Planes o Programas de Formación

Para una adecuada gestión de estos recursos, es preciso establecer un programa general de formación
para los distintos niveles de la organización, correctamente adaptado a cada puesto tanto en la materia a
impartir, como el momento en el que debe ser llevada a cabo, sin dejar que transcurra demasiado tiempo
entre que se imparte la formación y se pone en práctica, ya que de este modo no ser eficaz.
Se evaluarán sus resultados a corto y a largo plazo. En este proceso también se encuentra incluida la
dirección, la cual debe recibir formación adaptada a su situación y cargo. Se evaluará en función del
impacto que tiene sobre la eficacia y eficiencia de la organización como instrumento de mejora continua.
No sólo han de tenerse en cuenta los conocimientos, experiencia y formación para seleccionar a las
personas para un determinado puesto de trabajo, también es importante tener en cuenta las características
personales que exigen las condiciones del puesto de trabajo y si el trabajador será capaz de adaptarse
al puesto o al entorno material y personal en el que tenga lugar el mismo.
13
Navegando por esta Unidad Didáctica, se puede descargar un Ejemplo de Proceso
General de Formación.
14
7.4 COMUNICACIÓN 7.5 CONTROL DE LA INFORMACIÓN DOCUMENTADA
El SGSI de la organización debe incluir:
La información documentada requerida por esta Norma Internacional y la información documentada que la
organización ha determinado que es necesaria para la eficacia del SGSI.
El alcance de la información documentada para un SGSI puede ser diferente de una organización a otra,
debido a:
■ El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios

■ La complejidad de los procesos y sus interacciones
■ La competencia de las personas.
La organización debe determinar las comunicaciones internas y externas pertinentes al SGSI, que
incluyan:
■ El contenido de la comunicación.
■ Cuando comunicar.
■ A quién comunicar.
■ Quién debe comunicar.
■ Los procesos por los que debe efectuarse la comunicación.
La alta dirección debe establecer un buen sistema de comunicación interna para todos los miembros de la
organización acerca de la política, los requisitos y los objetivos de seguridad de la información.
15
Control de la Información Documentada
La información documentada requerida por esta Norma Internacional y la información documentada que la
organización ha determinado que es necesaria para la eficacia del SGSI.
El alcance de la información documentada para un SGSI puede ser diferente de una organización a otra,
debido a:
- El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios
- La complejidad de los procesos y sus interacciones
- La competencia de las personas.
REQUISITO EXIGIDO POR LA NORMA

■ La información documentada requerida por esta Norma Internacional.
■ La información documentada que la organización ha determinado que

es necesaria para la eficacia del SGSI.
(Apartado 7.5.1 Generalidades.)
El sistema de gestión de seguridad de la información se encuentra definido y basado en una serie de

documentos y registros englobados en el requisito “información documentada”, que reflejan cómo se
encuentra planificada la gestión de la organización, es decir, desarrolla todas las actividades que en ella se
realizan mediante instrucciones contenidas en procedimientos documentados.
Toda la información documentada que compone el sistema, debe estar bajo control, de modo que no
exista posibilidad alguna de confusión ni errores.
16
Contenido Mínimo Exigido por la Norma
Los controles mínimos necesarios requeridos por la Norma están establecidos en las cláusulas 7.5.2 y
7.5.3:
■ Cuando se crea y se actualiza información documentada, la organización debe asegurarse en la

manera que corresponda:
− La identificación y descripción (p.ej. título, fecha, autor o número de referencia).

− Formato (por ejemplo idioma, versión del software, gráficos) y sus medios de soporte (p.ej.
papel, electrónico).
− La revisión y aprobación con respecto a la idoneidad y adecuación.
■ Se debe controlar para asegurarse de que:
− esté disponible y adecuada para su uso, dónde y cuándo se necesite.

− esté protegida adecuadamente (p.ej. contra pérdida de la confidencialidad, uso inadecuado,
pérdida de integridad).
■ Se debe tratar las siguientes actividades, según sea aplicable:
− distribución, acceso, recuperación y uso;

− almacenamiento y preservación, incluida la preservación de la legibilidad:
− control de cambios (p.ej. control de versión).
− retención y disposición.
■ La información documentada de origen externo que la organización ha determinado necesaria para
la planificación y operación del SGSI, se debe identificar y controlar, según sea adecuado.
17
ACTITUD
GESTIÓN EFICIENTE
Maximizar el aprovechamiento de los recursos que se disponen, tanto humanos, materiales como
económicos.
Para que se produzca una gestión eficiente, es necesario que esté claramente definida la autoridad y la
responsabilidad que se ejerce.
En base a una situación de partida y unos objetivos, se deben adoptar las medidas necesarias con el fin de
resolver los problemas y mejorar la gestión realizada.
La diversidad de propuestas puede permitir adaptar soluciones a las particularidades que se necesiten en
un momento concreto. Un ejemplo muy claro es la gestión eficiente del agua en el que es necesario
armonizar tanto los recursos de agua que se disponen, con la normativa legal, la economía y la participación
de las personas mediante el control de los consumos.
La clave es hacer eficiente el sistema con el fin que se puedan satisfacer las necesidades del mayor número
de personas posibles al menor costo posible.
18
902 350 077
formacion@bvbs.es
La Planificación y la Gestión de Recursos para el Sistema de Gestión de Seguridad de la

Información
Reservados todos los derechos. El contenido de esta obra está protegido por 19
la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
ll
Entender la Evaluación del Desempeño y los

Procesos de Mejora

ENTENDER LA EVALUACIÓN DEL DESEMPEÑO Y LOS PROCESOS DE MEJORA
Para el desarrollo de esta competencia, será necesario conocer, analizar y comprender los requisitos para la realización
del proceso y analizar la evaluación del desempeño y el proceso de mejora en la implantación de un sistema de gestión
ISO 27001:2013.
CONOCIMIENTOS
Analizar el Capítulo 8 de la Norma. Entender la Revisión por la Dirección.
Contextualizar el Capítulo 9 y 10 de la Norma. Entender las Generalidades de la Mejora.
Estudiar el Seguimiento, Medición, Análisis y

Identificar la No Conformidad y Acción Correctiva.
Evaluación.
Analizar la Auditoría Interna. Procurar la Mejora Continua.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los conocimientos
profesionales:
Trabajo Individual: Asegurarse que los procedimientos de seguridad cumplen las políticas y normas
de seguridad. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Determinar las necesidades de seguridad de la información y la disponibilidad de los
recursos de tratamiento de la información. A realizar a lo largo del Módulo/Curso.
Debate: Analizar si el desarrollo del software externo debe ser supervisado y controlado por la
organización. A realizar a lo largo del Módulo/Curso.
ACTITUD
Crear Oportunidades de Mejora.
AUTOEVALUACIÓN
Análisis del Capítulo 8 de la Norma. Revisión por la Dirección.
Contextualización del Capítulo 9 y 10 de la Norma. Generalidades de la Mejora.
Seguimiento, Medición, Análisis y Evaluación. No Conformidad y Acción Correctiva.
Auditoría Interna. Mejora Continua.
Entender la Evaluación del Desempeño y los Procesos de Mejora
2
ANÁLISIS DEL CAPÍTULO 8 DE LA NORMA
La sección 8 de la ISO 27001:2013 contiene las siguientes cláusulas:
8. Operación
8.1 Planificación y control operacional.
8.2 Apreciación de los riesgos de seguridad de la información.
8.3 Tratamiento de los riesgos de seguridad de la información.
Planificación y Control Operacional

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos
de seguridad de la información y para implementar las acciones determinadas en las acciones para tratar
los riesgos y las oportunidades.
La organización debe implementar también planes para alcanzar los objetivos de seguridad de la
información determinados en los objetivos de seguridad de la información y planificación para su
consecución.
En la medida necesaria la organización debe mantener información documentada, para tener la confianza
de que los procesos se han llevado a cabo según lo planificado.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario.
La organización debe garantizar que los procesos contratados externamente están controlados.
Apreciación de los Riesgos de Seguridad de la Información

La organización debe efectuar apreciaciones de riesgo de seguridad de la información a intervalos
planificados, y cuando se propongan o produzcan modificaciones importantes, teniendo en cuenta los
criterios de aceptación del riesgo establecidos.
La organización debe conservar información documentada de los resultados de las apreciaciones de riesgos
de seguridad de información.
Tratamiento de los Riesgos de Seguridad de la Información

La organización debe implementar el plan de tratamiento de riesgos de seguridad de la información. La
organización debe conservar información documentada de los resultados del tratamiento de riesgos de
seguridad de información.
3
EJEMPLO DE UN EXPERTO
René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Ediciones Deusto. ISBN: 84-234-4406-0
Esta estupenda viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica de forma
gráfica lo vital que es tener perfectamente claros y definidos todos los requisitos necesarios para la
realización del producto, desde los especificados inicialmente por el cliente, hasta los requisitos de
índole legal o de seguridad de la información. Un incorrecto entendimiento y definición de los requisitos,
podría generar errores inexcusables en la relación con clientes y proveedores.
4
CONTEXTUALIZAR EL CAPÍTULO 9 Y 10 DE LA NORMA
En la sección 9, la Norma describe y establece las responsabilidades de la dirección dentro de un sistema
de gestión de la seguridad de la información en lo referente a su revisión para asegurar su conveniencia,
adecuación y eficacia continua. Los requisitos de esta sección se derivan en gran medida de los principios
de gestión de la calidad:
En la sección 10, la Norma describe y establece los requisitos para la mejora del sistema de gestión de la
La sección 9 y 10 de la ISO 27001:2013 contiene las siguientes cláusulas:
9. Evaluación del desempeño.
9.1 Seguimiento, medición, análisis y evaluación.
9.2 Auditoría Interna.
9.3 Revisión por la dirección.
10 Mejora.
10.1 No conformidad y acciones correctivas.
10.2 Mejora continua.
5
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Los procesos de Seguimiento, Medición, Análisis y Evaluación sirven de base para la aplicación de toma de
decisiones, y siempre implica cierta incertidumbre.
A menudo implica múltiples tipos y fuentes de elementos de entrada, así como su interpretación, que
puede ser subjetiva. Es importante entender las relaciones de causa y efecto y las consecuencias no
previstas potenciales. El análisis de los hechos, de la evidencia y de los datos conduce a una mayor
objetividad y confianza en las decisiones tomadas.
La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del SGSI.
La organización debe conservar la información documentada como evidencia de resultados y determinar

los siguientes aspectos:
■ A qué es necesario hacer seguimiento y qué es necesario medir, incluyendo procesos y controles de
■ Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar
resultados válidos.
■ Los métodos seleccionados deben producir resultados comparables y reproducibles para ser
considerados válidos.
■ Cuándo se deben llevar a cabo el seguimiento y la medición.
■ Quién debe hacer el seguimiento y la medición.
■ Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
■ Quién debe analizar y evaluar esos resultados.
6
9.2 AUDITORÍA INTERNA
La auditoría se realiza sobre el Sistema de Gestión y a los procesos correspondientes, de un modo
planificado, para garantizar que son conformes con la Norma, que han sido implantados en la organización
y respetados por la misma.
Se utiliza como método de medida del funcionamiento del Sistema de Gestión de Seguridad de la
Información y como instrumento para la mejora continua de los procesos de la organización.
9.2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar
información acerca de si el SGSI:
■ Cumple con:
- Los propios requisitos de la organización para su SGSI.

- Los requisitos de esta Norma Internacional.
■ Está implementado y mantenido eficazmente.
9.2.2 La organización debe:
■ Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la
frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de
informes, que debe tener en consideración, la importancia de los procesos involucrados, y los
resultados de las auditorías previas.
■ Definir los criterios y el alcance para cada auditoría.
■ Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la

imparcialidad del proceso de auditoría.
■ Asegurar de que los resultados de las auditorías se informan a la dirección pertinente.
■ Tomar las correcciones y acciones correctivas necesarias sin demora injustificada.
■ Conservar información documentada como evidencia de la implementación del programa de

auditoría y los resultados de auditoría.
Se debe planificar un programa de auditorías teniendo en cuenta los objetivos de la calidad, la

importancia de los procesos involucrados, la retroalimentación del cliente, los cambios que tengan
un impacto en la organización, y los resultados de las auditorías previas.
7
Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología.
La selección de los auditores debe asegurar la objetividad e imparcialidad del proceso. Para ello los
auditores no deben auditar su propio trabajo.
Es preciso hacer una aclaración, las inspecciones y ensayos que se realizan controlan el producto, mientras
que las auditorías lo que hacen es controlar el proceso y el sistema de gestión; aunque no son
excluyentes sino que se complementan, ya que una inspección de un producto puede proporcionar los
datos necesarios para modificar un proceso.
La dirección responsable del área que ha sido auditada debe asegurarse de que se toman las correcciones
y acciones necesarias sin demora injustificada para eliminar las no conformidades detectadas y sus
causas. Se debe llevar a cabo un seguimiento para verificar las acciones tomadas y realizar un informe de
sus resultados. (Información documentada).
El resultado de la auditoría interna es un elemento de entrada al proceso de revisión por la dirección.

Navegando por esta Unidad de Competencia, se puede descargar un Ejemplo de
Proceso de Auditorías Internas.
8
Objetivos de la Auditoría Interna de Calidad
La auditoría interna proporciona el grado de cumplimiento de los procesos establecidos para el sistema de
gestión de seguridad de la información y corrobora si el cumplimiento de dichos procesos permite a la
organización alcanzar los objetivos deseados.
Permite también adoptar las acciones correctivas y de mejora necesarias para lograr los objetivos previstos
cumpliendo con los procesos establecidos.
En caso de que los procesos no sean adecuados para alcanzar dichos objetivos, aporta directrices para el
cambio.
Ventajas de una Auditoria Interna
■ Mejora de los procesos. No pretende detectar los defectos, sino que se trata de un sistema de
mejora.
■ Los problemas que sufre la organización salen a la luz y se intentan resolver.
■ Aporta una mayor fuerza al sistema de gestión ya que da confianza en las instrucciones de los
procesos y proporciona el sistema adecuado para mejorarlo.
9
9.3 REVISIÓN POR LA DIRECCIÓN
La dirección deberá desarrollar una actividad de revisión pero que no implique sólo la verificación de la
eficacia y efectividad del Sistema de Gestión de Seguridad de la Información sino que abarque a toda la
organización.
La alta dirección debe, a intervalos planificados, revisar el Sistema de Gestión de la organización para
asegurarse de su conveniencia, adecuación y eficacia continuas.
La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en
el Sistema de Gestión de Seguridad de la Información, incluyendo la política de seguridad de la información
y los objetivos de control
La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización, a

intervalos planificados, para asegurar su continua conveniencia, adecuación, y eficacia continua.
Tanto las necesidades de la organización, las del mercado, las de los clientes y otras partes interesadas,
como el propio cumplimiento de sus objetivos no son en ningún caso estáticas, son cambiantes, así que
el sistema de gestión debe adaptarse a tales cambios, esto implica la obligación por parte de la dirección de
revisar el sistema en intervalos de tiempo que han sido fijados de antemano.
En estas revisiones se incluyen no sólo los procesos establecidos, sino también la política de seguridad
de la información, los objetivos marcados, etc. La revisión de todos estos aspectos de la organización ha
de estar adecuadamente documentada, debe quedar recogida en la información documentada (registros)
correspondiente que acrediten que se ha llevado a cabo.
Información de Entrada para la Revisión

La revisión se basa en el estudio de determinada información que es aportada a la dirección a través de
distintos medios que han de ser, en todo caso, fiables.
10
■ La revisión por la dirección debe planificarse y llevarse a cabo considerando:
■ El estado de las acciones desde anteriores revisiones por la dirección.
■ Los cambios en las cuestiones externas e internas que sean pertinentes al SGSI.
■ La información sobre el comportamiento de la seguridad de la información, incluidas las tendencias

relativas a:
- No conformidades y acciones correctivas.

- Seguimiento y resultados de las mediciones.
- Resultados de auditoría
- El cumplimiento de los objetivos de seguridad de la información.
■ Los comentarios provenientes de las partes interesadas.
■ Los resultados de la apreciación del riesgo y el estado del plan de tratamiento de riesgos.
■ Y las oportunidades de mejora continua.
Elementos de salida de la Revisión

Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambio en el SGSI.
La organización debe conservar información documentada como evidencia de los resultados de las
revisiones por la dirección
11
10.1 GENERALIDADES DE LA MEJORA
Las generalidades del requisito dan las orientaciones hacia dónde debe encaminarse los procesos de
mejora dentro del sistema de gestión de seguridad de la información.
10.1 Mejora - Requisitos
La organización debe determinar y seleccionar las oportunidades de mejora e implementar las

acciones necesarias para cumplir los requisitos del cliente.
Estas incluirán:
■ Corregir, prevenir o reducir los efectos no deseados;
■ Mejorar el desempeño y la eficacia del sistema de gestión de seguridad de la información.
La dirección de la organización debe encontrar el modo de que la organización mejore de una forma
continuada, para ello los procesos deben ser dinámicos en cuanto al modo de realizarse y como toda
actividad de la organización, esta mejora debe estar planificada.
La mejora puede hacerse reactivamente (p.ej. acción correctiva), de manera incremental (p.ej. mejora
continua), mediante un cambio significativo (p.ej. avance), de manera creativa (p.ej. innovación) o por
reorganización (p.ej. transformación).
12
10.2 NO CONFORMIDAD Y ACCIÓN CORRECTIVA
La Norma indica que cuando ocurra una no conformidad, incluidas aquellas originadas por quejas, la
organización debe reaccionar ante la no conformidad, y según sea aplicable tomar acciones para controlarla
y corregirla.
Cuando ocurra una no conformidad, la organización debe:
■ Reaccionar ante la no conformidad, y según sea aplicable:
- Llevar a cabo acciones para controlarla y corregirla.

- Hacer frente a las consecuencias.
■ Evaluar la necesidad de acciones para eliminar la causa de la no conformidad, con el fin de que no
vuelva a ocurrir ni ocurra en otra parte, mediante:
- La revisión de la no conformidad.
- La determinación de las causas de la no conformidad.
- La determinación de la existencia de no conformidades similares, o que potencialmente
podrían ocurrir.
■ Implementar cualquier acción necesaria.
■ Revisar la eficacia de las acciones correctivas tomadas.
■ Realizar cambios en el sistema de gestión de seguridad de la información si es necesario.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades encontradas.
■ La organización debe conservar información documentada como evidencia de:
- La naturaleza de las no conformidades y cualquier acción posterior tomada.

- Los resultados de cualquier acción correctiva.
Acción Correctiva
Las acciones correctivas se utilizan como una herramienta de mejora continua, para que en los puntos que
se han detectado fallos se solventen.
La norma ISO 9000 define:
■ No conformidad, como el incumplimiento de un requisito.
■ Acción correctiva, como la acción tomada para eliminar la causa de una no conformidad
detectada u otra situación indeseable.
13
La organización debe disponer de métodos de respuesta por si se produce una no conformidad y debe
estar preparada para eliminar la causa que la provocó, a poder ser de un modo definitivo para que no
vuelva a producirse. Estas respuestas deben establecerse a través de procedimientos documentados.
Los procesos que conducen las acciones correctivas, deben estar en consonancia a la importancia que
tenga el defecto localizado y han de incluir un estudio de la no conformidad interna o detectada por los
clientes, la determinación de sus posibles causas, modificación de las causas y el control de la
eficacia de las posibles causas.
Este proceso debe señalar la actividad de comenzar el estudio de las no conformidades o quejas y de sus
causas en el instante en que sean detectadas, así como el estudio de si existen no conformidades
similares o que potencialmente podrían ocurrir (estudio de la extensión o alcance de la no conformidad)
y si es necesario, hacer cambios en el sistema de gestión de la calidad.
14
10.2 MEJORA CONTINUA
Todos los elementos de salida del análisis y evaluación que se han mencionado hasta el momento, tanto
auditorías internas, el método PDCA, análisis de datos, así como los elementos de salida de la revisión del
sistema, deben aplicarse para impulsar la adecuación e idoneidad del sistema de gestión de seguridad
de la información, así como la mejora de eficacia del mismo.
Otras fuentes de información para la mejora de la idoneidad y adecuación del sistema de gestión dada su
condición de cambios permanentes serán:
Las cuestiones externas e internas.

El contexto de la organización.
Las partes interesadas pertinentes identificadas así como sus necesidades, expectativas y requisitos.
Los requisitos legales y reglamentarios aplicables.
Todo proceso de mejora debe ser permanente y continuo, con un fin educativo y no un objetivo que una vez
alcanzado se estanque.
La mejora continua es el único modo de que la organización sobreviva y de mantener la satisfacción de los
clientes.
15
■ La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
■ La organización debe considerar los elementos de salida del análisis y la evaluación, y los
elementos de salida de la revisión por la dirección, para determinar si existen necesidades u
oportunidades u oportunidades que deben tratarse como parte de la mejora continua.
P: (plan = planificar), se planifican detalladamente los objetivos y se

redactan los procedimientos adecuados para lograrlos.
D: (do = realizar), se realiza el proceso de acuerdo con los
procedimientos diseñados.
C: (check = controlar), se realiza un seguimiento de los procesos
para comprobar que se realizan de acuerdo con lo establecido.
A: (act = actuar), una vez analizados los resultados de la etapa
anterior, se toman medidas al respecto y se planifica de nuevo con el
fin de obtener una mejora continua.
16
NOTAS
17
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
DEBATE
18
ACTITUD
CREAR OPORTUNIDADES DE MEJORA
Contribuir a encontrar una solución a situaciones que se plantean en una empresa, y que ayudan a mejorar
el rendimiento en una organización.
Una persona debe proponer ideas y nuevas formas de hacer las cosas, incluso más allá de su propia área
de trabajo con el fin de mejorar métodos o técnicas que pueden haber quedado desfasadas dentro de la
organización.
De esta manera, existen nuevos enfoques que serán afrontados con entusiasmo, ya que las expectativas de
las tareas y funciones planteadas tienen la intención de mejorar el rendimiento general existente en la
empresa.
Se actúa con iniciativa y anticipación, proponiendo e impulsando formas de hacer para un problema o
situación, surgiendo entonces la oportunidad de mejora que debe desarrollarse en base a unos recursos
que se poseen y unos plazos de trabajo.
La oportunidad de mejora que se presenta para una empresa, debe entenderse siempre como un elemento
de innovación empresarial.
19
902 350 077
formacion@bvbs.es
Entender la Evaluación del Desempeño

y los Procesos de Mejora
ll
Entender el Proceso de Implementación de la

Norma ISO 27001 en un SGSI

ENTENDER EL PROCESO DE IMPLEMENTACIÓN DE LA NORMA ISO 27001 EN UN
SGSI
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de gestionar y garantizar la
correcta aplicación de un sistema de gestión de la seguridad de la información (SGSI).
CONOCIMIENTOS
Analizar las Consideraciones Básicas de ISO 27001

Preparar la Creación y Alcance de un SGSI.
antes de su Implantación.
Valorar la Compatibilidad de ISO 27001 con otros

Conocer los Factores de Éxito de un SGSI.
Sistemas de Gestión.
Diferenciar los Términos y Definiciones Previos de

ISO 27001.
HABILIDADES
Trabajo Individual: Integrar el sistema de gestión de seguridad de la información con los procesos de
la organización. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Establecer los objetivos de seguridad de la información en las funciones y niveles
precisos de acuerdo con la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Realizar un análisis Nuevas Tecnologías y Protección de Datos. A realizar a lo largo del
Módulo/Curso.
ACTITUD
Perfeccionamiento y Mejora Continua.
AUTOEVALUACIÓN
Consideraciones Básicas de ISO 27001 antes de su
Creación y Alcance de un SGSI.
Implantación.
Compatibilidad de ISO 27001 con otros Sistemas de

Factores de Éxito de un SGSI.
Gestión.
Términos y Definiciones Previos de ISO 27001.
Entender el Proceso de Implementación de la Norma ISO 27001 en un SGSI
2
CONSIDERACIONES BÁSICAS DE ISO 27001 ANTES DE SU IMPLANTACIÓN
ISO 27001 es el estándar internacional creado para “proporcionar un modelo para establecer,
implementar, operar, revisar y mejorar un SGSI”.
La adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica, y el

Sistema de Gestión de Seguridad de la Información (SGSI) se diseña e implanta de forma específica en
cada organización.
La aplicación de la normativa de referencia requerirá como mínimo de la participación de todo el personal

de la organización, y también puede requerir de la implicación en diferente grado de proveedores, clientes
o accionistas.
Seguridad de la Información y Enfoque a Procesos
El Sistema de Gestión de la Seguridad de la Información se configura como un conjunto de procesos a

controlar, que constituyen el eje de la norma ISO 27001.
Enfoque a Procesos
Se puede definir un proceso como un conjunto de actividades orientadas a generar un valor añadido a sus
entradas para conseguir un resultado, que satisfaga los requisitos del cliente.
Resultados y Procesos
Un resultado deseado se alcanza más eficientemente cuando las actividades y recursos relacionados se
gestionan como un proceso.
UNE-EN ISO 9004:2009. Gestión para el éxito sostenido de una organización. Enfoque de gestión de la
calidad.
Toda actividad que se realice dentro de una organización, sea del tipo que sea, procesos productivos,
administrativos, comerciales o de gestión, debe ser tratada y gestionada como si fuese un proceso, y se
considera como “un enfoque a procesos”.
Por tanto, la empresa puede ser entendida como un sistema complejo formado por un conjunto de
elementos como producción, ventas, finanzas, recursos humanos, etc., en interacción entre sí y con el
exterior.
Una empresa u organización debe gestionar un gran número de procesos que de ningún modo son
independientes, sino que se encuentran todos interrelacionados de forma que, normalmente, las salidas
de unos son las entradas de otros.
3
Ventajas del Enfoque Basado en Procesos
■ Permite controlar de forma continua todos los procesos, tanto individualmente como en conjunto.
■ Se reducen los costes y se acortan tiempos si se utilizan los recursos de forma adecuada.
■ Proporciona mejores resultados, con una mayor consistencia y que además se pueden predecir de
forma más sencilla y más fiable.
■ Permite establecer prioridades a la hora de realizar mejoras.
En la gestión de la seguridad de la información, gracias al enfoque del proceso, los usuarios dan más
importancia a diferentes hechos:
Los Usuarios Conceden más Importancia a:
■ Entender los requerimientos de seguridad de la información de una organización y su necesidad de

establecer una política y unos objetivos para este fin.
■ Poner en marcha controles para los riesgos de la seguridad de la información.
■ Revisar la efectividad del SGSI, y buscar una mejora continua en base a una medición de
resultados.
4
Mapa de Procesos
El mapa de procesos es la representación gráfica de la estructura de un proceso que conforma un Sistema
de Gestión.
Define la organización como un sistema de procesos interrelacionados, mostrando cómo sus actividades
están relacionadas con los clientes, proveedores, y grupos de interés.
Requisitos Exigidos
Adoptar esta visión de la actividad de una organización, implica necesariamente la realización de diversas
tareas.
Tareas a Realizar
■ Enfocar la gestión como un proceso sobre determinadas partes de la empresa, como por
ejemplo, provisión de recursos, productos o recursos humanos, que mejorará las actividades de la
organización.
■ Realizar una definición precisa de las actividades necesarias para lograr el resultado deseado.
■ Establecer la jerarquía de responsabilidades, y dar indicaciones para gestionar las actividades

clave.
5
De esta forma, toda actividad debe tener unas características determinadas:
¿Qué Debe Tener una Actividad?
■ Un objeto definido, con límites bien determinados para cada una de las etapas y para el proceso
global.
■ Algún tipo de indicador que sea cuantificable o medible, para poder comprobar el grado de
cumplimiento de los objetivos.
■ Designar un responsable de dicho proceso.
Metodología PDCA
Gracias al enfoque de toda actividad como un proceso, se pueda aplicar la metodología conocida como:
PDCA (Plan-Do-Check-Act) o lo que es lo mismo PHVA (Planificar-Hacer-Verificar-Actuar), que no es más
que un sistema de mejora continua.
6
PDCA
Para poder establecer los objetivos de cada actividad es necesario tener una
Planificar política clara de lo que se pretende con respecto al sistema de gestión, para
determinar los procesos necesarios para conseguir los resultados deseados.
Hacer Es la etapa de proceso en la que es necesario gestionar de forma adecuada

todos los recursos de la empresa.
Verificar Todos los procesos deben ser analizados y medidos, para cumplir con los
requisitos, política y objetivos de la organización.
Una vez realizados los análisis de los resultados producidos, se adoptarán las
Actuar medidas adecuadas, y se replanificará nuevamente con el fin de obtener una
mejora continua.
Modelo PDCA Aplicado a los Procesos SGSI

ISO 27001 adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA), que se puede aplicar a
todos los procesos SGSI, y que está implícito en la cláusula 0.1 de la Norma.
El SGSI debe intentar conseguir con el modelo PDCA satisfacer los requerimientos y expectativas en
seguridad de la información de las partes interesadas a través de las acciones y procesos necesarios.
Ejemplos
Que las violaciones de seguridad de la información no causen daño financiero ni

Requerimiento
pérdida de imagen a la organización.
Expectativa Que si ocurre un incidente serio, como el pirateo de una web, se tenga a
personas capacitadas para minimizar el daño.
7
Aplicación del Modelo PDCA en el SGSI
Contexto de la
Establecer la política, objetivos, procesos y procedimientos del
Organización
SGSI para controlar el riesgo, y mejorar la seguridad de la
Planificar Liderazgo
información para entregar resultados acordes con los objetivos
Planificación generales de la organización.
Hacer Operación Implementar y operar la política, objetivos, procesos y

Soporte procedimientos SGSI.
Evaluar, auditar y medir la política, objetivos, procesos y

Evaluación del
Chequear procedimientos SGSI, y realizar la revisión del sistema por la alta
Desempeño
dirección.
Realizar acciones correctivas como resultado de la auditoría

Actuar Mejora interna, evaluación continua de los procesos y controles o la
revisión gerencial para la mejora continua del SGSI.
VIDEO EN LA WEB (Acceso a través de la Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes visualizar un vídeo

ilustrativo del tema, en el que se indican los activos u valores de una empresa, a la vez que se analizan
los riesgos y amenazas que pueden encontrarse.
8
COMPATIBILIDAD DE ISO 27001 CON OTROS SISTEMAS DE GESTIÓN
Uno de los principales aciertos de ISO 27001 es que es compatible con otros sistemas de gestión.
Junto con ISO 9001 e ISO 14001, se integra con los otros estándares de gestión para dar soporte a una
implementación consistente.
Esto quiere decir que ISO 27001 está diseñado para satisfacer adecuadamente los requerimientos de los
otros estándares, a la vez que cumple su función.
Por ello, una organización puede implantar su SGSI cumpliendo con los requisitos de los otros sistemas de
gestión relacionados.
WEBINAR (Acceso a través de la Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes visualizar en diferido el

Webinar “Compatibilidad de ISO 27001 con otros sistemas de gestión”, impartido por don Alberto
Cuervo Rodríguez, Experto en Derecho y Nuevas Tecnologías, en el que se aborda la compatibilidad
del estándar con los otros sistemas de gestión.
Si deseas asistir a un Webinar en directo puedes ver la programación mensual e inscribirte a través del
campo TV Educativa BVBS, que encontrarás en el “Campus Virtual”.
Alcance
Los requerimientos que recoge ISO 27001 alcanzan a todo tipo de empresas, con independencia de sus
dimensiones o finalidad. Así, por ejemplo, pueden aplicarse a empresas comerciales, agencias
gubernamentales u organizaciones sin ánimo de lucro, por citar algunas.
Todas ellas pueden, siguiendo las pautas del estándar, implementar el SGSI que está concebido para que
pueda implantarse dentro del contexto de riesgos comerciales generales de las organizaciones.
El SGSI proporciona controles de seguridad que protegen los activos de información de las empresas. Estas
deben justificar la exclusión de cualquiera de los controles y asumir el riesgo que ello conlleva.
9
TÉRMINOS Y DEFINICIONES CLAVES DE LA ISO 27001
Algunos conceptos que se manejan a lo largo de la norma ISO 27001 y que deben conocerse para
implantar un SGSI:
Términos y Definiciones
Toda situación que genera incertidumbre en la consecución de los objetivos

Riesgo
definidos por la organización.
El recurso de información debe estar disponible y utilizable cuando lo requiera

Disponibilidad
una entidad autorizada.
La información está disponible y no se divulga a personas, entidades o procesos

Confidencialidad
no autorizados.
La propiedad de salvaguardar la exactitud e integridad de los recursos de

Integridad
información.
Preservación de la confidencialidad, integridad y disponibilidad de la

Seguridad de
información; además, también pueden estar involucradas otros atributos como la
Información
autenticidad, responsabilidad, no repudio y confiabilidad.
Una ocurrencia identificada del estado de un sistema, servicio o red indicando

Evento de Seguridad una posible violación de la política de seguridad de la información o falla en las
de Información salvaguardas, o una situación previamente desconocida que puede ser
relevante para la seguridad.
Un único o una serie de eventos de seguridad de la información no deseados o

Incidente de Seguridad
inesperados que tienen una significativa probabilidad de comprometer las
de Información
operaciones comerciales y amenazan la seguridad de la información
Sistema de Gestión de Parte del sistema gerencial general basado en un enfoque de riesgo del riesgo
Seguridad de la para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
Información (SGSI) seguridad de la información
10
Riesgo Residual El riesgo remanente después del tratamiento del riesgo.
Aceptación de Riesgo Decisión de aceptar el riesgo.
Uso sistemático de la información para identificar fuentes y para estimar el

Análisis de Riesgo
riesgo.
Proceso de comparar el riesgo estimado con el criterio de riesgo dado para

Evaluación del Riesgo
determinar la importancia del riesgo.
Actividades coordinadas para dirigir y controlar una organización con relación al

Gestión del Riesgo
riesgo.
Proceso de tratamiento de la selección e implementación de medidas para

Tratamiento del Riesgo
modificar el riesgo.
Declaración de Enunciado documentado que describe los objetivos de control y los controles
Aplicabilidad que son relevantes y aplicables al SGSI de la organización.
11
CREACIÓN Y ALCANCE DE UN SGSI
Sistema de información: aplicaciones, servicios, activos de tecnología de la información u otros
componentes que manipulen información. (ISO 27000).
Los soportes de la información más habituales serán:
Tipos de Soportes de Información
■ Papel o disquetes.
■ Video y audio.
■ Dispositivos Ópticos.
Aspectos Básicos en la Creación de un SGSI
Confidencialidad El acceso estará limitado solo al personal autorizado.
Integridad Se debe asegurar que la información no ha sido modificada y está completa.
Disponibilidad La información es accesible cuando se requiere.
El sistema de gestión de seguridad de la información es la parte de un sistema de gestión global, basada

en la aproximación al riesgo del negocio, dirigido a establecer, implantar, revisar, mantener y mejorar la
El sistema de gestión incluye una estructura organizativa, unas políticas de actuación que indican las
líneas generales necesarias para conseguir los objetivos previstos, con una planificación de las actividades
y la determinación de las responsabilidades.
Posteriormente, los procedimientos desarrollan los objetivos marcados en las políticas, que no es
necesario que sean conocidos por todas las personas de la organización, sino únicamente por aquellas que
lo requieran para el desarrollo de sus funciones.
12
Beneficios de la Implantación en una Organización de un SGSI
■ Proporciona una excelente lista de chequeo de controles.
■ Permite una demostración del uso de prácticas apropiadas para:
- Empresas y organizaciones.
- El cliente final.
- Auditores.
■ Asegura los activos de información de forma adecuada: mediante controles aplicados según el
riesgo.
¿Cómo implantar este sistema? Definiendo los procesos.
¿Cómo asegurar este sistema? En el ámbito de los controles de seguridad.
El anexo A de la norma ISO 27001:2013 enumera un conjunto de controles asociados a un código de

buenas prácticas para la gestión de la seguridad de la información.
Alcance de un SGSI
Es fundamental identificar el alcance que va a tener dentro de una organización el sistema de gestión de la
seguridad de la información, pues este alcance es muy variado y puede englobar a:
Partes interesadas y Recursos
■ Entorno de la organización (factores internos y externos).
■ Necesidades y expectativas de las partes interesadas de la organización.
■ Actividades.
■ Localizaciones.
■ Activos.
■ Tecnología.
13
Entorno de la Organización
Entorno interno y externo en el cual, la organización busca alcanzar sus objetivos
■ Externos: factores culturales, sociales, políticos, legales, normativos, financieros, tecnológicos,

económicos, ambientales y de competitividad, ya sean internacionales, nacionales, regionales o
locales.
■ Internos.
- Estructura organizativa, roles, responsabilidades y relaciones contractuales con terceros.

- Políticas, normas, guías, objetivos y estrategias existentes.
- Cultura de la organización.
- Capacidades y recursos: recursos financieros, tiempo, personas, procesos, sistemas y tecnologías.
Partes Interesadas
Las partes interesadas serán aquellas personas o grupos que se vean afectadas o tengan la percepción
de serlo por el rendimiento o éxito de su organización.
■ Clientes.
■ Inversores.
■ Aseguradores.
■ Organizaciones gubernamentales.
■ Empleados.
■ Público.
14
Los Riesgos en el Sistema de Gestión de Seguridad de la Información
La organización definirá un método de valoración del riesgo para el SGSI al objeto de reducir el riesgo a
un nivel aceptable. No se especifica que sea necesario un procedimiento documentado.
Un procedimiento especifica la manera de llevar a cabo una actividad o proceso.
Para evitar los posibles riesgos en el sistema de gestión se debe requerir a la organización para establecer
roles y responsabilidades incluyendo las seguridad en las responsabilidades de trabajo, tal y como
establece la cláusula 5.3 ISO 27001: 2013, proporcionando además los recursos necesarios para facilitar
una gestión efectiva de la seguridad de la información.
La toma de decisiones es un punto clave en el buen funcionamiento de una organización, y han de estar
basadas en una información precisa y fiable y a través de un acertado análisis de los datos.
En cualquier momento y a todos los niveles de la empresa es preciso tomar una decisión, por ello
los datos deben estar a disposición de aquellos que los necesitan para que la decisión sea lo más
acertada posible.
En la medida en que se pueda disponer de la información adecuada, se disminuirá el riesgo en las

decisiones.
Ventajas de la Aplicación de un SGSI
■ Genera mayor competitividad y una mejor imagen de la empresa.
■ Se manifiesta una amplia confianza en relación con terceros, y se producen también ventajas
comerciales al garantizarse la confidencialidad y el cumplimiento las exigencias legales, generando
una plena seguridad.
■ Una adecuada gestión de la seguridad de la información permitirá la reducción de riesgos, y

consecuentemente mayor eficacia y eficiencia en la gestión empresarial.
LECTURA RECOMENDADA
Se recomienda la lectura del libro Implantación de un sistema de

gestión de la seguridad de la información según ISO 27001 de Merino
Bada, Cristina, Madrid, 2011, Fundación Confemetal.
15
FACTORES DE ÉXITO DE UN SGSI
Es necesario establecer un marco de seguridad sobre los sistemas de información que permita garantizar el
servicio que requiere la organización. Esto se consigue con la implantación de un SGSI.
La norma ISO 27002:2013 es una guía de buenas prácticas, y por tanto:
La solución a todos estos problemas anteriores es un SGSI.
Factores Claves de Éxito de un SGSI
■ La implantación de un SGSI, como el de cualquier sistema de gestión, requiere de la participación

activa de la Alta Dirección.
■ La adecuada formación y mantenimiento del personal de la empresa con la seguridad, agiliza no

sólo la implantación inicial sino también el mantenimiento y la identificación de posibles nuevos
riesgos a gestionar en la empresa.
■ El sistema de gestión de seguridad debe contemplar su mejora continua para adaptarse a la

evolución de los sistemas y sus amenazas y la organización debe asumir un esfuerzo permanente
para su adecuado mantenimiento.
La gestión del riesgo debe formar parte de todas las actividades de la organización, y los controles de
seguridad aplicados deben ser acordes a las características de los riesgos y especialmente, la organización.
La disposición previa en la organización de otros sistemas de gestión directamente relacionados como las
normas ISO 9001, ISO 22301 o ISO 20000-1 simplifican y agilizan la implantación, siempre que los alcances
sean lo más parecido posible.
16
Los Ocho Factores de Éxito para un SGSI
■ Una política, objetivos y actividades que reflejen los objetivos del negocio de la organización.
■ Un enfoque para implantar la seguridad que sea consistente con la cultura de la organización.
■ El apoyo visible y el compromiso de la alta dirección.
■ Una buena comprensión de los requisitos de seguridad, de la evaluación del riesgo y de la gestión
del riesgo.
■ La convicción eficaz de la necesidad de la seguridad a todos los directivos y empleados.
■ La distribución de guías sobre la política de seguridad de la información de la organización y de

normas a todos los empleados y contratistas.
■ La formación y capacitación adecuadas.
■ Un sistema integrado y equilibrado de medida que permita evaluar el rendimiento de la gestión de la

seguridad de la información y sugerir mejoras.
17
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
Módulo ó o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
DEBATE
18
ACTITUD
CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN
Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.
La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.
Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.
No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.
19
902 350 077
formacion@bvbs.es

20
ll
La Normalización Internacional y la Seguridad

Industrial

LA NORMALIZACIÓN INTERNACIONAL Y LA SEGURIDAD INDUSTRIAL
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de entender los conceptos de
normalización y acreditación, así como de estudiar los diferentes organismos internacionales encargados de
normalizar y acreditar tanto a entidades públicas como privadas.
CONOCIMIENTOS
Comprender el Concepto de Normalización. Identificar los Beneficios de la Acreditación.

Estudiar los Organismos de Evaluación de la
Analizar los Beneficios de la Normalización.
Conformidad.
Entender los Niveles de la Normalización. Diferenciar entre Acreditación y Certificación.
Estudiar el Concepto de Acreditación.
ACTITUD
Imparcialidad.
AUTOEVALUACIÓN
Concepto de Normalización. Beneficios de la Acreditación.
Beneficios de la Normalización. Organismos de Evaluación de la Conformidad.
Niveles de la Normalización. Diferencia entre Acreditación y Certificación.
Concepto de Acreditación.
La Normalización Internacional y la Seguridad Industrial
2
CONCEPTO DE NORMALIZACIÓN
La normalización es una actividad mediante la cual fabricantes, consumidores, usuarios, administraciones
públicas, etc. establecen un acuerdo voluntario que se plasma en un documento técnico, o norma, en el que
se definen las características técnicas que debe reunir un material, producto, servicio o sistema para
garantizar su seguridad, su aptitud a la función o su compatibilidad con los otros productos, servicios o
sistemas.
Para comprender el significado de la Normalización es primordial conocer primero qué es una norma:
Qué es una Norma
Una norma se puede definir como un “documento establecido por consenso y aprobado por un
organismo reconocido, que otorga un marco común para su uso repetido, reglas, directrices o
características de las actividades o sus resultados, orientados a la consecución del grado óptimo de
orden en un contexto dado”.
ISO (Organización Internacional para la Normalización)
Las normas son desarrolladas por organismos de normalización internacionales, nacionales o regionales. Y,
entre otras muchas ventajas, facilitan el comercio y ofrecen las bases para la reglamentación técnica en
muchos campos como el de la calidad y la seguridad industrial.
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes visualizar un vídeo en el

que se indica la relevancia de las normalización desarrolladas por Internacional Organization for
Standardization (ISO).
3
BENEFICIOS DE LA NORMALIZACIÓN
De manera global, la normalización ayuda a unificar criterios, consiguiendo una serie de ventajas, entre las
que destacan:
Ventajas de la Normalización
■ Promover el entendimiento mutuo.
■ Incrementar la seguridad de los productos.
■ Aumentar la confianza de los consumidores.
■ Ayudar a los fabricantes a cumplir la legislación.
■ Fomentar la competitividad.
■ Armonizar el mercado.
■ Facilitar el comercio eliminando obstáculos.
■ Promover la seguridad y sostenibilidad.
■ Salvaguardar el medio ambiente.
Las normas son documentos establecidos por consenso entre las partes interesadas, y son aprobados por
organismos reconocidos.
En el caso de la creación de normas de reconocimiento internacional, se cuenta con la colaboración de los

países miembros participantes enviándoles el proyecto de norma para su evaluación, revisión, y en su caso
aportaciones para su mejora, antes de ser publicada con el consenso de todos los países participantes.

descargar un documento sobre la Elaboración de las Normas Internacionales.
Una vez han sido publicadas las normas pueden ser empleadas por una gran diversidad de agentes
interesados como por ejemplo: entidades privadas, públicas, público informado en general, etc.
4
5
Uso de las Normas
Las normas son documentos expuestos al uso voluntario de aquéllas partes que están interesadas en su
aplicabilidad, y por tanto, cuentan con derechos de autor para garantizar su integridad.
En muchas ocasiones las áreas sujetas a reglamentación o normatividad en las cuales el sistema de
comercio no permite que se desarrolle y ofrezca un producto de calidad y la seguridad de los consumidores
se ve puesta en riesgo, los gobiernos pueden basar el contenido técnico de sus regulaciones en estas
normas internacionales. Éste es un beneficio fundamental de la normalización.
Sin embargo, es posible que sea obligatorio el uso de la norma solo cuando la reglamentación de un país se
ha basado en su existencia previa.
Organismos Internacionales de la Normalización

Existen diferentes organismos internacionales para la elaboración de normas.
ISO, International Organization for Standarization

ISO es la Organización Internacional para la Normalización, es una organización internacional no
gubernamental, que redacta y aprueba normas técnicas internacionales. Dichas normas se conocen como
normas ISO.
El objetivo de ISO es fomentar el desarrollo de las actividades de normalización para favorecer intercambios
internacionales de bienes y servicios, y crear una cooperación en los campos intelectual, científico,
tecnológico y económico.
SITIO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Navegando por la Web es posible acceder a la página oficial de la ISO, donde se facilita la información
de esta organización así como sus actividades, normas publicadas, etc.
6
IEC, International Electrotechnical Commission
IEC, es la organización internacional que prepara y publica normas internacionales sobre electricidad,
electrónica y tecnologías relacionadas. Tiene como misión promover, a través de sus miembros, la
cooperación internacional en todas las cuestiones de normalización electrotécnica y materias relacionadas.
Muchas de las normas elaboradas por esta comisión son desarrolladas conjuntamente con la ISO,
conocidas como normas ISO/IEC.
Navegando por la Web es posible acceder a la página oficial de la IEC, donde puedes acceder a
información sobre estas normas.
UIT, International Telecommunications Union

UIT es la organización de las Naciones Unidas para las tecnologías de la información y la comunicación.
Es una organización que en la actualidad cuenta con más de 193 países miembros, y cuya misión es la de
cooperar a nivel internacional para el desarrollo de las nuevas tecnologías de la comunicación y de la
información en todo el mundo. Para ello es fundamental el desarrollo de sus normas, ya que sin ellas no se
podría navegar por internet o realizar una simple llamada telefónica.
Navegando por la Web es posible acceder a la página oficial de UIT y consultar la información que
ofrece este organismo.
Organismos Regionales de la Normalización

Existen otros organismos de normalización que agrupan en su mayoría otros organismos de normalización
a nivel regional, como por ejemplo:
7
CEN, European Committee for Standarization
El Comité Europeo de Normalización, desarrolla trabajos de normalización que cubren todos los sectores
técnicos con excepción del campo electrotécnico, que es competencia del Comité Europeo de
Normalización Electrotécnica (CENELEC).
La misión principal del CEN es promover la armonización técnica, de forma voluntaria, en Europa y crear
nuevas Normas Europeas, Normas EN, o documentos de armonización sobre aquellos temas en los que no
existen normas internacionales o nacionales, para fomentar la competitividad de la industria europea a nivel
mundial y ayudar en la creación del mercado interior europeo.
Otra de las funciones principales de este organismo es promover la implantación en Europa de las normas
desarrolladas por la ISO y la IEC.
Navegando por la Web es posible acceder a la página oficial de CEN, donde se facilita toda la
información de esta organización.
CENELEC, European Committee for Electrotechnical Standarization

Está reconocido oficialmente como la organización europea de normalización en este campo por la
Comisión Europea en la Directiva 83/189/CEE.
La misión del CENELEC es preparar normas electrotécnicas de carácter voluntario que ayuden a desarrollar
un Mercado Único Europeo para productos y servicios eléctricos y electrónicos y eliminar las barreras
comerciales, creando nuevos mercados y reduciendo los costes de adaptación.
Navegando por la Web es posible acceder a la página oficial de CENELEC y consultar la información
que este sitio facilita.
8
ANSI, American National Standars Institute
ANSI, es la Organización nacional de normalización norteamericana, es un sistema voluntario de
normalización, con reconocido prestigio internacional. Que se encarga de la elaboración de normas
referidas a productos, servicios, etc. que pueden ser aplicadas de forma voluntaria por las empresas
estadounidenses y otras partes interesadas.
Navegando por la Web es posible acceder a la página oficial de ANSI, donde se pueden consultar todas
las actividades en las que se encuentra involucrada esta organización.
COPANT, Comisión Panamericana de Normas Técnicas

COPANT, es una Sociedad Civil sin ánimo de lucro que agrupa a varios países miembros activos (25) y 9
miembros adherentes.
Actualmente cuenta con 25 miembros activos y 9 miembros adherentes, y agrupa a los Organismos
Nacionales de Normalización (ONN) de las Américas.
Su fin principal es impulsar el crecimiento comercial, industrial, científico y tecnológico de los países que lo
forman
Países Miembros Activos de COPANT
Algunos de los países miembros activos que forman parte de la

COPANT son los siguientes:
■ Argentina
■ Bolivia
■ Brasil
■ Canadá
■ Colombia
■ Costa Rica
■ Cuba
■ Chile
■ Ecuador
9
■ El Salvador
■ Estados Unidos
■ Guatemala
■ Guyana
■ Honduras
■ Jamaica
■ México
■ Panamá
■ Paraguay
■ Perú
■ República Dominicana
■ Uruguay
■ Etc.
Navegando por la Web es posible acceder a la página oficial de COPANT y consultar la información que
facilita.
MERCOSUR, Mercado Común del Sur

Actualmente, Bolivia, Chile, Perú, Ecuador y Colombia son los Estados Asociados al MERCOSUR, junto con
los miembros fundadores Argentina, Brasil, Paraguay y Uruguay.
El Mercosur intenta avanzar en normas y procedimientos para controlar el mercado aduanero de los países
que lo integran. Desde el punto de vista del comercio interior del Mercosur, como de los bienes que se
intenten comercializar en su espacio. El organismo regional que se encarga de elaborar las normas del
Mercosur se denomina Asociación Mercosur de Normalización (AMN).
10
Navegando por la Web es posible acceder a la página oficial de AMN, donde podrás consultar la
información disponible de esta organización.
Organismos Nacionales de Normalización
ICONTEC INTERNACIONAL
Es la organización que representa a Colombia en organismos internacionales de Normalización como ISO y
regionales como COPANT. Actualmente, presta servicio de normalización, certificación, inspección,
educación, acreditación en salud, calibración de equipos, consulta y venta de publicaciones, etc.
Navegando por la Web es posible consultar información relativa a la Normalización y estructura

organizativa de todo el proceso en Colombia.
AENOR, Asociación Española de Normalización y Certificación
En España el único organismo reconocido para la publicación de normas es la Asociación Española de

Normalización, AENOR, como queda reconocido en el Real Decreto 338/2010, de 19 de marzo, por el que
se modifica el Reglamento de la Infraestructura para la Calidad y Seguridad Industrial, aprobado por el Real
Decreto 2200/1995, de 28 de diciembre.
Navegando por la Web es posible consultar información relativa a todas las actividades que desarrolla
AENOR en España y a nivel internacional.
11
Entre las funciones de AENOR, destacan:
■ Elaborar normas técnicas españolas, conocidas como normas UNE.

■ Colaborar impulsando la aportación española en la elaboración de normas europeas e
internacionales.
Aparte de estos organismos de normalización, explicados como ejemplo, existen otros organismos de
normalización en numerosos países como: Francia (AFNOR), Reino Unido (BSI), Alemania (DIN), Argentina
(IRAM), etc.

descargar una síntesis de la normalización explicada en este apartado.
12
NIVELES DE LA NORMALIZACIÓN
A nivel de organización de todos los organismos de Normalización, se utiliza una estructura jerárquica de
los mismos, de tal manera que, los organismos internacionales son la base de la estructura del desarrollo de
normas voluntarias de carácter internacional pudiendo ser adoptadas por cualquier país, previa adaptación.
Internacional ISO – IEC – UIT
Reginonal COPANT – MERCOSUR – CENELEC – ANSI
Nacional AENOR – ICONTEC
13
CONCEPTO DE ACREDITACIÓN
La acreditación es el procedimiento establecido a escala internacional mediante el cual una Entidad
autorizada reconoce formalmente que una organización es competente para la realización de una
determinada actividad de evaluación de la conformidad.
Una acreditación es el reconocimiento por parte de una tercera entidad de la competencia técnica de una
organización para la realización de una actividad de evaluación de la conformidad.
La acreditación la pueden solicitar:
■ Administraciones públicas o empresas que por su actividad requieren estar acreditadas.

■ Organizaciones privadas que dentro del ámbito voluntario quieran conseguir una ventaja competitiva
respecto a sus competidores.
La mayoría de países disponen de entidades de acreditación, que a tal efecto otorgan a los Organismos de
Evaluación de la Conformidad la capacidad de evaluar y realizar declaraciones objetivas de que los
productos, servicios, bienes, etc. cumplen con unos requisitos específicos.
14
BENEFICIOS DE LA ACREDITACIÓN
Las ventajas que aporta la acreditación, no sólo se dejan notar en la organización que resulta acreditada,
sino que también se manifiestan en otros grupos de entidades o personas interesadas. Así existen
beneficios que recaen sobre:
■ La administración.
■ Los evaluadores.
■ Los clientes de los evaluadores.
■ El consumidor final.
Principales Ventajas de la Acreditación
■ Las entidades acreditadas, cuentan con un reconocimiento de su competencia técnica para la

evaluación de la conformidad.
■ Los organismos acreditados fomentan la autorregulación del propio mercado, incrementan la

competencia y la innovación, reduciendo las necesidades de reglamentación.
■ La existencia de estas entidades acreditadas nos permite tomar decisiones que afectan a la salud y
a la seguridad, basadas en una información técnicamente fiable y homogénea, disminuyendo así
el riesgo. Del mismo modo, refuerza nuestra confianza en los servicios básicos como los laboratorios
de análisis clínico o de alimentos.
■ Constituye un rasgo diferenciador en el mercado, garantía de integridad y competencia,

aumentando sus oportunidades comerciales.
■ Los servicios de evaluación acreditados aportan un valor añadido a los productos o servicios, en
cuanto a fiabilidad y reconocimiento, que repercute directamente en la confianza de los clientes y
refuerza la imagen de la empresa.
■ Para el cliente final, la acreditación inspira confianza, ya que garantiza que los productos han sido
evaluados por un organismo independiente y competente. Del mismo modo, aumenta la libertad de
elección y fomenta un mercado libre, pero fiable.
■ Si una empresa contrata los servicios de una entidad acreditada, esto le permite controlar y reducir
los fallos de producto y los costes de producción, fomentando la innovación.
■ Los productos, análisis, calibraciones, evaluaciones ambientales, etc., realizados por entidades
acreditadas, pasan a tener un reconocimiento internacional, abriendo el mercado y disminuyendo
los costes que acarrearía una repetición de las evaluaciones.
15
Organismos Internacionales de Acreditación
La acreditación hace que los organismos de evaluación de la conformidad de diferentes países tengan
formas similares de desarrollar su labor de acreditación, pues se ajustan a las normas de acreditación
vigentes y que son de aplicación internacional.
Existen varios organismos que colaboran para que las entidades de acreditación mejoren día a día, y para
que los criterios seguidos a nivel mundial sean compatibles.
A continuación se describen las funciones de los principales organismos en los que participan las entidades
de acreditación.
IAF, International Accreditation Forum

Otro organismo importante, que está formado por entidades de todo el mundo, es el IAF, International
Accreditation Forum.
Éste es un foro de discusión y trabajo, que integra

entidades de acreditación de todo el mundo y
también otro tipo de asociaciones, que participan en
calidad de miembros asociados.
Navegando por la página de IAF se puede acceder a noticias y enlaces de interés, así como a
publicaciones realizadas por este organismo.
Los propósitos de la IAF son asegurar que los miembros de esta asociación acrediten sólo a aquellas
entidades que sean competentes, a la vez que promueve los “acuerdos multilaterales de reconocimiento”,
MLA, entre sus miembros.
La acreditación asegura la competencia e imparcialidad de las entidades acreditadoras miembro del IAF, así
como de las acreditaciones que estos miembros otorguen a otras organizaciones para asegurar su
competencia técnica, reconociéndolas como propias.
16
¿Qué son los Acuerdos Multilaterales de Reconocimiento?
Los Acuerdos Multilaterales de Reconocimiento (MLA), aseguran que la acreditación facilite un acceso a
los mercados.
Es una oportunidad para empresas, por ejemplo, colombianas o españolas para que se les permita tener
un respaldo en los mercados internacionales y les facilite la libre circulación de sus productos y servicios,
sin necesidad de someterlos a nuevas pruebas y otros requisitos que deben cumplir de no contar con
esa acreditación con un MLA.
ILAC, International Laboratory Accreditation Cooperation

Dentro de la IAF, se encuentra también la ILAC, International Laboratory Accreditation Cooperation.
Integra organismos de acreditación de laboratorios y

organismos de acreditación de entidades de inspección de
todo el mundo.
Al igual que IAF, promueve el reconocimiento internacional de

los análisis y calibraciones realizados por miembros de esta
asociación, firmando acuerdos de reconocimiento.
En el seno de estas organizaciones, es donde se elabora la documentación de carácter técnico necesaria

para garantizar que las actuaciones de las diferentes entidades de acreditación sean homogéneas.
Navegando por la página de ILAC se puede acceder a información sobre los laboratorios acreditados,
así como publicaciones y noticias de interés.
17
EA, European co-operation for Accreditation
A lo largo de toda Europa, encontramos varias entidades de acreditación, que son diferentes en cada país
miembro de la Unión. Se encuentran reunidas en la EA, European co-operation for Accreditation.
La EA conforma un espacio común de trabajo, en el

que se definen las políticas de operación, en relación
con la evaluación de la conformidad.
Navegando por la página de EA, se encuentra disponible un mapa de Europa, en el que aparecen todas
las entidades de acreditación a nivel europeo, incluyendo datos de contacto.
Accediendo a esta Unidad de Competencia a través de la Plataforma, puede

descargar el listado de Principales Entidades de Acreditación.
Organismos Nacionales de Acreditación

Los diferentes países cuentan con entidades de acreditación propias, que permiten acreditar diferentes
organismos de evaluación de la conformidad de forma equivalente gracias a los Acuerdos Multilaterales de
Reconocimiento.
A continuación, a modo de ejemplo, se introducen las características generales de los Organismos de

Acreditación de España y Colombia.
ENAC, Entidad Nacional de Acreditación

En España, la entidad encargada de acreditar organismos que realizan actividades de evaluación de la
conformidad, es ENAC, Entidad Nacional de Acreditación.
18
Navegando por la Web es posible acceder a la entidad ENAC y consultar la información relativa a la
misma que se encuentra disponible.
La Entidad Nacional de Acreditación es una organización auspiciada y tutelada por la Administración, que
se constituye según lo dispuesto en:
■ Ley de Industria 21/1992.

■ Real Decreto 338/2010, por el que se modifica el Reglamento de la Infraestructura para la calidad y
seguridad industrial, aprobado por el Real Decreto 2200/1995.
ENAC es una entidad privada, independiente y sin ánimo de lucro, cuya función es coordinar y dirigir en
el ámbito nacional un Sistema de Acreditación conforme a criterios y normas internacionales.
Los organismos de acreditación son los encargados de comprobar, mediante evaluaciones

independientes e imparciales, la competencia de los evaluadores de la conformidad, con objeto de dar
confianza al comprador y a la administración, contribuyendo, a su vez, a facilitar el comercio tanto nacional
como internacional.
Los criterios seguidos por las entidades de acreditación en otros países, son comunes a los seguidos por
ENAC, de forma que la evaluación de la conformidad realizada por un organismo acreditado por ENAC,
debe ser equivalente al realizado por otro organismo acreditado por otra entidad de acreditación.
ONAC, Organismo Nacional de Acreditación de Colombia

Este organismo se caracteriza por ser de naturaleza mixta, ya que en su creación contó con aportes
estatales pero también privados. Su carácter es eminentemente técnico, y aplica estándares
internacionales.
19
Navegando por la Web es posible acceder a la página oficial de ONAC, donde podrás consultar la
información disponible de esta organización.
Debido a esta participación mixta, se constituyó regido por las normas del derecho privado, en concreto
según el artículo 96 de la Ley 489 de 1998 del Congreso de la República, por la que se dictan normas sobre
la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones,
principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del
artículo 189 de la Constitución Política y se dictan otras disposiciones, y según el control administrativo del
Ministerio de Comercio, Industria y Turismo.
Los principios que rigen el funcionamiento del ONAC son la independencia, imparcialidad, autonomía
financiera y administrativa.
Proceso de Acreditación
Cuando una entidad opta por la solicitud de una acreditación, el proceso que debe seguir es el siguiente:
El primer paso es la solicitud de la acreditación al Organismo de

Acreditación de cada país, para lo cual se encuentran disponibles los
formularios correspondientes, indicando además la documentación que será
necesario aportar en cada caso.
Primer Paso
Miembros del Organismo de Acreditación revisan la documentación, y si

todo está correcto, designan el equipo auditor, que se encargará de la auditoría
20
Los miembros del equipo auditor son seleccionados conforme a criterios
establecidos por el Organismo de Acreditación, y esta entidad cuenta con
expertos en todo tipo de actividades.
Si el solicitante de la acreditación está de acuerdo con el equipo designado, es

decir, no ha detectado a su juicio conflicto de intereses, se procede a la
auditoría.
El equipo auditor evalúa que la entidad solicitante cumple los criterios de

acreditación. Este proceso de evaluación incluye:
Segundo Paso
■ Estudio de la documentación técnica.
■ Auditoría y observación de la realización de actividades para las que se

solicita la acreditación.
■ Emisión de informe para el solicitante donde se detalla cualquier posible

desviación detectada respecto a los requisitos de acreditación.
El solicitante debe implementar las acciones correctivas que considere

pertinentes.
En este punto, la Comisión de Acreditación, a la vista del informe de

evaluación y de las acciones correctivas puestas en marcha por la organización
solicitante, toma una decisión que comunica a éste.
Tercer Paso
En caso de que la Comisión de Acreditación considere que ésta es positiva,
emite el correspondiente certificado de acreditación. En caso contrario, se
aplaza la decisión hasta que se verifique la resolución de las desviaciones.
El proceso de acreditación no termina ahí, periódicamente se realizan visitas de seguimiento para

verificar que la entidad continúa cumpliendo los requisitos de acreditación.
La acreditación no es de duración ilimitada, y cada cuatro años, o cinco, según el caso, se reevalúa la
competencia de la entidad mediante una auditoría similar a la inicial.
21
22
Uso de la Marca de Acreditación Otorgada
La Marca de Acreditación, es reconocible fácilmente mediante un logotipo, o la referencia de una entidad a
la condición de acreditado en los informes o certificados que emita, es el medio empleado por las
organizaciones acreditadas para anunciar públicamente el cumplimiento de los requisitos de acreditación
Ejemplo de la Marca de Acreditación Otorgada por ENAC (España)
Todos los usuarios de los servicios o productos de una organización, pueden reconocer de manera sencilla
los documentos emitidos debido a actividades acreditadas, como por ejemplo informes de ensayo,
resultados de análisis clínicos, certificados, etc.
La presencia de la Marca de Acreditación de un Organismo de Acreditación de cualquier país en informes y

certificados, indica la garantía de contar con los beneficios y ventajas aportados por la acreditación. Una
parte importante de esto es su aceptación internacional.
Los certificados e informes sin la Marca de Acreditación, o sin la referencia a la acreditación junto con su
número, no pueden ser considerados “documentos acreditados”, y por lo tanto, no se benefician de estas
ventajas.
La Marca de Acreditación sólo puede ser empleada por las organizaciones que se encuentren acreditadas.
Su uso fraudulento o irregular, puede llevar a los Organismos de Acreditación a emprender acciones legales
contra los infractores.
Otro aspecto importante, es que el uso de la Marca de Acreditación debe limitarse a la actividad o
aspecto de la organización que haya sido acreditado.
Por ejemplo, en el informe de análisis clínico de un laboratorio de ensayo que no tenga todas las pruebas
acreditadas, deben constar claramente cuáles son los resultados acreditados y cuáles no, para que no de
lugar a error.
23
La acreditación es tan concreta que incluso, aunque un laboratorio de ensayo esté acreditado para la
determinación de un compuesto concreto, puede ocurrir que lo esté para un rango limitado de
concentraciones, debiendo hacer referencia a ello en el informe, para asegurar si está acreditado para
realizar ese análisis o no.
Las Marcas de Acreditación deben aparecer siempre claramente asociadas al nombre o logotipo de la
organización acreditada, y en ningún caso, a otras organizaciones o logotipos. Además, vendrá
acompañada del número de acreditación.
24
ORGANISMOS DE EVALUACIÓN DE LA CONFORMIDAD
Los organismos de evaluación de la conformidad son los encargados de evaluar y realizar una
declaración objetiva de que los productos, procesos, instalaciones o servicios cumplen unos requisitos
específicos.
Los organismos de evaluación de la conformidad deben estar acreditados garantizando así su competencia
y proporcionando la confianza demandada por el mercado. Estas acreditaciones las realizan las Entidades
Nacionales de Acreditación (ONAC en Colombia, ENAC en España, etc.).
La función básica de los organismos de evaluación de la conformidad es asegurar que los procesos,
productos, instalaciones o servicios puestos a su disposición son conformes con requisitos relacionados con
su Calidad y Seguridad. Estos requisitos pueden estar establecidos en reglamentación específica, o bien
basados en normas voluntarias.
Los organismos de evaluación de la conformidad más representativos, son:
■ Laboratorios.
■ Organismos de Control.
■ Entidades de Certificación.
■ Verificadores.
Laboratorios
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:
■ Laboratorio de ensayo.
■ Laboratorio de calibración.
Estos dos tipos de laboratorios deben demostrar el cumplimiento de los requisitos establecidos en la norma
internacional ISO/IEC 17025:2005 para estar acreditados.
ISO/IEC 17025:2005
La norma ISO/IEC 17025 es una guía genérica y es aplicable a todos los laboratorios, ya sean de ensayo o
calibración, para determinar que:
■ Que tienen implantado y desarrollado un sistema de gestión de la calidad, que le facilitará la gestión de
la documentación del laboratorio a nivel técnico.
■ Que estos laboratorios son capaces técnicamente en cuanto a: personal, instalaciones, condiciones
ambientales, métodos, equipos y patrones con una trazabilidad basada en las unidades del sistema
internacional.
■ Su capacidad para obtener resultados de ensayo y/o calibración fiables.
25
De manera general, esta norma puede ser implantada en cualquier tipo de laboratorio de calibración o
ensayos, y se caracteriza por una primera parte dividida en 15 secciones alineadas con los requisitos de un
sistema de gestión de calidad, y las restantes encaminadas a determinar la competencia técnica y la validez
de los resultados que se obtengan en dichos laboratorios. Se puede implantar independientemente de su
tamaño o actividad.
Los resultados de ensayos y calibraciones realizados por estos laboratorios acreditados por las entidades
nacionales de acreditación como ONAC en Colombia y ENAC en España, son aceptados en otros países
debido a los acuerdos multilaterales de reconocimiento a los que se acogen estas entidades.
Laboratorios de Ensayo
“Los laboratorios de ensayo son entidades públicas o privadas, cuya finalidad es llevar a cabo la
comprobación, solicitada con carácter voluntario, de que los productos cumplen con las normas o
especificaciones técnicas que les sean de aplicación”.
Los resultados llevados a cabo por los laboratorios pueden ser usados por la propia organización para
conocer y controlar la calidad de sus productos y servicios, así como sus repercusiones sobre el medio
ambiente.
Esos resultados también son usados por las entidades de inspección para la declaración de conformidad
con requisitos reglamentarios, bien en apoyo a procedimientos de autocontrol (ámbito voluntario), o bien
dentro de las actividades de inspección y control reglamentario que las distintas administraciones llevan a
cabo para asegurar que se cumplen los desarrollos legales que aprueban (ámbito reglamentario).
Laboratorios de Calibración
“Los laboratorios de calibración industrial son las entidades públicas o privadas, cuya finalidad es facilitar, la
trazabilidad y uniformidad de los resultados de medida”.
La calibración es el procedimiento de comparar la lectura de un instrumento de medición, con respecto a

un patrón con valor o dimensión conocida.
En la actualidad se utilizan múltiples equipos de medida para diferentes actividades. Para controlar que
dichos equipos trabajan adecuadamente y proporcionan una información fiable, deben ser revisados
periódicamente por un laboratorio de calibración acreditado, el cual expedirá un certificado de calibración.
El certificado de calibración proporciona la evidencia de que el instrumento está correctamente calibrado

ante futuras inspecciones.
26
Organismos de Control
“Los organismos de control son entidades públicas o privadas, cuya finalidad es verificar el cumplimiento de
carácter obligatorio de las condiciones de seguridad de productos e instalaciones industriales, establecidas
por los Reglamentos de Seguridad Industrial, mediante actividades de certificación, ensayo, inspección o
auditoría”.
Estos organismos asisten a la administración en las labores de control y vigilancia de las actividades
industriales.
El control del cumplimiento de las condiciones de seguridad de diseños, productos, equipos, procesos e
instalaciones industriales se efectuará mediante la evaluación de su conformidad con los requisitos
establecidos en los respectivos Reglamentos, emitiéndose según los casos el protocolo, acta, informe o
certificado correspondiente.
Entidades de Certificación
La certificación es el procedimiento mediante el cual un organismo de evaluación de la conformidad da una

garantía por escrito, de que un producto, un proceso o un servicio es conforme con los requisitos
especificados en una norma.
Por tanto, las entidades de certificación son entidades públicas o privadas, cuya finalidad es establecer la
conformidad, solicitada con carácter voluntario, de una determinada empresa, producto, proceso, servicio o
persona a los requisitos definidos en normas o especificaciones técnicas.
Existen distintos tipos de certificaciones dependiendo del ámbito y del tipo de actividad que se trate, entre
las que destacan:
■ Certificaciones de Producto.
■ Certificaciones de Sistemas de Gestión de Calidad.
■ Certificaciones de Sistemas de Gestión Medioambiental.
■ Certificaciones de Sistemas de Seguridad de la Información.
■ Certificaciones de Personas.
Verificadores
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:
■ Verificadores medioambientales.
■ Verificadores del régimen de comercio de derechos de emisión de gases de efecto invernadero.
27
Verificadores Medioambientales
Los verificadores medioambientales son entidades públicas o privadas independientes de la organización
sometida a verificación, que se constituyen con la finalidad de realizar las funciones que se establecen para
ellos, en el Reglamento (CE) 1221/2009 del Parlamento Europeo y del Consejo, de 25 de noviembre de
2009, por el que se permite que las organizaciones se adhieran con carácter voluntario a un Sistema
Comunitario de Gestión y Auditoría Medioambiental (EMAS).
El Reglamento EMAS permite la participación voluntaria de las organizaciones, para la evaluación y mejora
de su comportamiento medioambiental y la difusión de la información pertinente al público y otras partes
interesadas.
Las organizaciones que se adhieran al Reglamento EMAS deben ser objeto de evaluación de conformidad
por parte de un verificador medioambiental, el cual debe estar acreditado y para ello debe demostrar el
cumplimiento de los requisitos establecidos en el Reglamento CE 1221/2009.
Verificadores del Régimen de Comercio de Derechos de Emisión de Gases de Efecto

Invernadero
Los verificadores del régimen de comercio de derechos de emisión de gases de efecto invernadero
(VCDE) son los organismos de verificación competentes, independientes y acreditados para llevar a cabo el
proceso de verificación del informe anual de emisiones de gases de efecto invernadero al que hace
referencia diferente reglamentación a nivel europeo por el gran desarrollo que ha tenido en los últimos años
este campo de verificación.
28
DIFERENCIAS ENTRE ACREDITACIÓN Y CERTIFICACIÓN
Acreditación y Certificación son términos que suelen confundirse, pero no debería ser así, ya que son
actividades distintas, que se diferencian tanto en su objetivo como en el contenido de normas en las que
se basan.
Objetivos
Dar reconocimiento formal de que un organismo es competente para llevar a

Acreditación
cabo tareas específicas.
Declarar públicamente que un producto, proceso, servicio o persona, es

Certificación
conforme con los requisitos establecidos en una norma.
Las normas que rigen las entidades que desean certificarse son diferentes de las empleadas por las
entidades de acreditación en sus funciones.
En el caso concreto de los organismos certificadores, las normas ISO 9000, ISO 14000 empleadas,
describen de manera general los requisitos de un sistema de gestión, mientras que las normas seguidas por
los acreditadores, no describen un sistema de gestión, sino que establecen los requisitos específicos que
cada uno de los organismos de evaluación de la conformidad deben cumplir, para demostrar su
competencia técnica.
Por ejemplo, un laboratorio, certificado ISO 9000, ha demostrado que dispone de un sistema de gestión de
calidad ISO 9000, mientras que un laboratorio acreditado ISO 17025, ha demostrado su competencia
técnica, es decir, ha demostrado su capacidad para producir resultados de ensayo o calibración precisos y
correctos.
29
ACTITUD
IMPARCIALIDAD
Actitud o comportamiento que exige no inclinarse por ninguna de las partes que intervienen en un conflicto,
ni apoyar expresamente la solución planteada por una de ellas.
En una organización empresarial, todas las decisiones deban adoptarse en base a criterios objetivos, sin
que en ningún caso los prejuicios ni las emociones afecten a la toma de decisiones.
La imparcialidad representa no tener interés personal en el resultado de un conflicto, y se basa en la

credibilidad de los motivos y argumentos utilizados para adoptar una decisión.
Es muy utilizada la frase “nadie puede caminar hacia ninguna parte”, cuando en realidad si se adopta una
decisión, siempre se sigue una dirección hacia delante o hacia atrás.
Por tanto, es fundamental para cualquier persona que intervenga en un conflicto, que carezca de ningún
interés en la solución del litigio, de esta manera ser imparcial significa:
Adoptar decisiones sin verse afectado en las valoraciones por determinados prejuicios sobre las personas.
Actuar sin estar influenciado por las opiniones y sugerencias de las partes interesadas.
No involucrarse ni personal ni emocionalmente en el asunto en conflicto.
30
902 350 077
formacion@bvbs.es
ll
Comprender los Principales Aspectos que

Reúnen las Auditorías de un SGSI

COMPRENDER LOS PRINCIPALES ASPECTOS QUE REÚNEN LAS AUDITORÍAS DE
UN SGSI
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de gestionar la realización
de auditorías e interpretar el proceso de Certificación según el Sistema de Gestión de la Calidad ISO
27001.
CONOCIMIENTOS
Conocer Conceptos Básicos y Definiciones de

Distinguir los Participantes en una Auditoría.
Interés.
Comprender los Objetivos de una Auditoría de un
Diferenciar los Tipos de Auditorías.
SGSI.
Conocer las Características Generales que Comprender el Proceso de Certificación de la
Engloba el Proceso de Auditoría. Empresa.
HABILIDADES
Trabajo Individual: Reforzar los conocimientos adquiridos en relación con la Normalización y la

Acreditación. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Evaluar si el sistema de gestión implantado en la empresa cumple los requisitos exigidos
por la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Valorar la influencia de la normalización para aumentar la seguridad y confianza de los
consumidores. A realizar a lo largo del Módulo/Curso.
ACTITUD
Fomentar la Escucha Activa.
AUTOEVALUACIÓN
Conceptos Básicos y Definiciones de Interés. Participantes en una Auditoría.
Objetivos de una Auditoría de un SGSI. Tipos de Auditorías.
Características Generales que Engloba el Proceso
Proceso de Certificación de la Empresa.
de Auditoría.
Comprender los Principales Aspectos que Reúnen las Auditorías de un SGSI
2
CONCEPTOS BÁSICOS Y DEFINICIONES DE INTERÉS
La serie de Normas Internacionales ISO 27000 ponen énfasis en la importancia de las auditorías como
una herramienta de gestión para el seguimiento y la verificación de la implementación eficaz de una
política de organización para la gestión de la Seguridad de la Información.
Las auditorías son también una parte esencial de las actividades de evaluación de la conformidad y de la
evaluación y vigilancia de la cadena de suministro.

visualizar un vídeo ilustrativo del tema, en el que resumen los aspectos más
relevantes del proceso de auditoría. La Importancia de Auditar
La importa de auditar: la auditoria es un examen independiente para determinar si los examenes realizados permiten
obtener los resultados planificados
Auditoría
Una auditoría es un proceso sistemático, independiente y documentado para obtener evidencias de la

auditoría, y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los
criterios de auditoría.
ISO 19011 “Directrices para la Auditoría de Sistemas de Gestión”
Se puede decir que una auditoría es el examen, por parte de personas neutrales, del cumplimiento de
una determinada norma o procedimiento.
De modo más sencillo, la auditoría es una actividad de análisis que, partiendo del punto inicial de
recabar información, la evalúa para determinar posibles errores, estableciendo pautas para corregirlos.
No se trata de un “proceso policial”, sino de un proceso técnico, en el cual el auditado tiene que ver
siempre la parte positiva de recibir información sobre el funcionamiento de la empresa.
Una auditoría tampoco debe convertirse en una simple inspección rutinaria y en su desarrollo no
solamente participan la persona o equipo auditor, sino los propios auditados. El éxito y la eficacia de una
auditoría dependen de la cooperación de todas las partes involucradas.
3
De esta forma, se puede concluir que una auditoría es:
■ Un examen metódico y documentado.

■ Independiente, es decir, realizado por personas que no tengan responsabilidad directa en los
sectores que se desea auditar.
Definiciones
Como definiciones de imprescindible conocimiento se pueden destacar las que siguen, que se
encuentran recogidas en las Normas:
■ ISO 27000. “Sistemas de Gestión de Seguridad de la Información. Fundamentos y vocabulario”.

■ ISO 19011. “Directrices para la auditoría de los sistemas de gestión”
4
5
OBJETIVOS DE UNA AUDITORÍA DE UN SGSI
La auditoría de un Sistema de Gestión de Seguridad de la Información se utiliza con el fin de verificar si
el sistema de gestión ha sido convenientemente desarrollado, documentado, implantado y está siendo
seguido por la organización.
Para ello, el auditor realiza una evaluación completa del sistema de gestión y elabora un informe
detallado.
En caso de detectarse desviaciones respecto al sistema, la empresa deberá llevar a cabo las acciones
correctivas que sean necesarias para solucionarlas.
Objetivos de la Auditoría
■ Estudiar los documentos del sistema para determinar si se ajustan a las normas de referencia
correspondientes.
■ Evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los requisitos
legales, reglamentarios y contractuales.
■ Comprobar la adecuación de la Política de Seguridad de la Información al funcionamiento del
sistema y a las actividades de la empresa.
■ Verificar el grado de cumplimiento de los objetivos de la Política.
■ Establecer el nivel de cumplimiento de los procedimientos que forman parte del Sistema de
Gestión, y de esta forma:
- Comprobar que se implementa y mantiene el SGSI .
- Comprobar que el cumplimiento de los procedimientos permite alcanzar los objetivos de la

empresa, así como la implantación de la Política de Seguridad de la Información.
- Identificar riesgos y oportunidades.
- Proponer las acciones correctivas y de mejora necesarias para alcanzar el cumplimiento de

los procedimientos y de los objetivos.
- Proponer la modificación de la información documentada cuando se demuestre que no son

los adecuados para el desarrollo de la empresa.
- Prevenir la repetición de problemas.
- Identificar las áreas de mejora potencial del sistema de gestión.
6
El estudio del procedimiento auditado y el examen de su cumplimiento por parte de los auditores, junto
con la aportación creativa de los responsables del proceso, proporcionan la ocasión de simplificar y
mejorar la operación, con las miras puestas en el aumento de la calidad y la reducción de los costes.
En consecuencia, las auditorías se realizan con la finalidad de determinar:
■ La adecuación del Sistema de Gestión de la organización a la norma de referencia específica.

■ La conformidad de las actuaciones del personal de una organización con referencia a los requisitos
de su programa de calidad según lo definido en la documentación.
■ La eficacia de las distintas actividades que constituyen el sistema de gestión de la organización, y de
las medidas correctivas y /o preventivas adoptadas.
Hay que tener en cuenta, no obstante, que la filosofía de los sistemas de gestión está basada en la
prevención, más que en la detección de problemas, y por ello debemos dar mayor importancia a:
Las auditorías proporcionan a la Dirección de la empresa evidencias objetivas basadas en hechos.

Esto permite a la Dirección tomar decisiones basándose en hechos y no en hipótesis.
7
CARACTERÍSTICAS GENERALES DE UNA AUDITORÍA
Para poder realizar una auditoría, debe estar implantada e implementada en la organización, la norma de
referencia sobre la que se aplica dicha auditoría.
Resulta imprescindible contar con personal preparado para llevarla a cabo. En caso contrario, no se
alcanzarán los objetivos de evaluación deseados y el personal auditado sufrirá una importante
desmotivación al ser juzgado por personas a las que no considera con nivel suficiente para ello.
Antes de realizar una auditoría, debe establecerse el objeto de tal auditoría, señalando claramente sus
límites, evitando así que estos puedan estar confusos, así como acopiarse de cuanta documentación e
información exista sobre el objeto a auditar.
Documentación e Información para Desarrollar una Auditoría
■ Procesos Generales del SGSI.

■ Normativa y legislación aplicable.
■ Quejas o reclamaciones de clientes.
■ Informes de auditorías precedentes (si procede).
■ Informes de no Conformidad.
■ Registros sobre acciones correctivas o de mejora implantadas o propuestas recientemente.
■ Registros y documentos exigidos por la norma de referencia.
■ Riesgos y Oportunidades.
■ Información del contexto de la organización.
■ Información de las partes interesadas
8
En caso de realización de una auditoría interna por personal de la propia empresa, es necesario que los
auditores designados dispongan de una copia del Proceso / Procedimiento para la Realización de
Auditorías, redactado y aprobado con anterioridad a la auditoría, de forma que permita seguir una pauta
de actuación al personal auditor, señalando sus competencias y limitaciones.
Así mismo, deberán establecerse los oportunos contactos con los responsables del proceso
auditado, en los que se explicará el objeto de la auditoría, presentándoles al personal del equipo auditor
y señalando las líneas generales de actuación de la misma.
En el desarrollo de la auditoría, el auditor ha de tener siempre en cuenta que:
■ Se evaluarán solamente evidencias objetivas y contrastadas.

■ En caso de detectarse una posible deficiencia se investigará hasta confirmarla o no, averiguar si es
fortuita o sistemática y si es posible, identificar sus causas y efectos.
■ Se debe hacer un seguimiento exhaustivo de las anomalías detectadas en anteriores auditorías.
Verificaciones durante la Auditoría
Las verificaciones a efectuar durante la auditoría son, en general, de la siguiente naturaleza:
■ Revisión de los documentos aplicables del Sistema de Gestión de Seguridad de la Información

aplicable, para comprobar que la organización auditada dispone de los documentos del sistema de
gestión, requeridos en la norma de aplicación.
■ Examen de los registros y evidencias documentales que demuestren el cumplimiento de las
disposiciones del Sistema de Gestión de Seguridad de la Información.
■ Supervisión directa de los procesos, para comprobar que las actividades se desarrollan de la
manera prevista en la documentación del Sistema de Gestión de Seguridad de la Información.
Una vez finalizada la auditoría, el auditor mantiene una reunión con el auditado, o persona delegada, al
que expone las desviaciones encontradas para obtener su acuerdo con las mismas o para que formule
sus observaciones. Tras la reunión, el auditor redactará el correspondiente Informe de Auditoría.
La auditoría no debe tener un cariz de crítica destructiva. Es deseable que se remarquen los aspectos
positivos del sistema auditado, sin embargo, lo que sí debe especificarse en el documento o informe final
de la auditoría son todas las no conformidades detectadas y verificadas sobre la base de evidencias
objetivas.
9
PARTICIPANTES EN UNA AUDITORÍA
En un proceso de Auditoría se encuentran involucrados tres participantes: Cliente, Auditor y Auditado.
Conviene diferenciar claramente cada uno de ellos ya que, en ocasiones, algunas de las figuras pueden
llegar a coincidir.
10
Cliente de Auditoría
El cliente es la persona u organización que solicita una auditoría.
■ Un comprador, actual o potencial, que quiera evaluar la capacidad de un

determinado proveedor en el tratamiento de los riegos de seguridad de la
información.
■ Una organización que quiera establecer auditorías como parte de una
evaluación continua o para detectar cualquier anomalía del Sistema de
Gestión.
■ La Administración, cuando es un organismo oficial el que requiere a
empresas suministradoras de ciertos productos o servicios especiales que
se sometan a una auditoría a cargo de entidades de certificación
acreditadas, organismos de control u otros entes concesionarios.
El Cliente Puede Ser ■ El propio auditado, que puede requerir:
- A una organización especializada externa una evaluación de su sistema.
- A miembros de la propia organización la realización de auditorías

internas para la evaluación de su Sistema.
- A una Entidad de Certificación la realización de una auditoría del

Sistema con vistas a la obtención de un registro de empresa.
- A un organismo independiente, para determinar si el sistema permite la

gestión adecuada de los productos que se van a suministrar (entidades
de inspección o reglamentarios).
■ Definir los objetivos de la auditoría.

■ Definir el alcance de la auditoría.
■ Determinar las Normas de referencia a utilizar.
Funciones del Cliente
■ Seleccionar o contratar al personal auditor.
■ Determinar el periodo de duración de la auditoría.
■ Colaborar en todo momento con el auditor.
11
Organización Auditora
La organización auditora es aquella que planifica y dirige el proceso de auditoría. También selecciona
o contrata los auditores para cada auditoria, asegurando su cualificación e idoneidad.
Para auditorias de primera parte, la organización auditora es nombrada por la dirección. En empresas
muy pequeñas, la responsabilidad de planificar y dirigir las auditorías internas generalmente recae sobre
el Responsable de Seguridad de la Información o el Representante de la Dirección. Los auditores pueden
ser internos o contratados externamente.
Para auditorias de segunda parte, la organización auditora puede ser del cliente de la auditoria (la
organización que quiere auditar a sus proveedores) o puede subcontratarse.
Para auditorias de tercera parte, la organización auditora siempre es externa e independiente.
Para el caso especial de certificación, la organización auditora, además de independiente, conviene que
sea acreditada por un ente nacional o internacional.
Entre los auditores cabe distinguir:
■ Líder del equipo auditor: Auditor designado para dirigir, planificar y actuar
como interlocutor principal al informar de las desviaciones encontradas y
evaluar las acciones correctivas.
■ Auditor: Persona que realiza cualquier parte de la auditoría, bajo la
dirección del jefe del equipo.
Pueden sumarse a los auditores otros colaboradores, tales como: auditores en

prácticas, traductores e intérpretes o, incluso, observadores. Estos últimos,
Categorías del Auditor
los observadores, acostumbran a ser:
■ Personas de la propia organización auditada, que han manifestado su deseo

de presenciar la auditoría para su aprendizaje personal.
■ Personas pertenecientes o representantes de algún comprador.
■ Personal propio de la entidad auditora cuya intención es evaluar al auditor
con vistas a su registro y cualificación.
Estos observadores deben permanecer neutrales en cuanto al desarrollo de la

auditoría y no interferir en su ejecución.
12
■ Convenir con el cliente los objetivos, alcance y criterios de la auditoría.
■ Convenir con el cliente y auditado la fecha y duración de la auditoria.
■ Seleccionar el equipo auditor idóneo para cada auditoría específica.
■ Suministrar los recursos para la realización de la auditoria.
Funciones del Auditor
■ Asegurar que el equipo auditor realice la auditoría según los criterios
establecidos.
■ Recibir el informe de la auditoria elaborado por el equipo auditor.
■ Entregar el informe al cliente de la auditoria y al auditado.
Organización Auditada
Es la organización o entidad sobre la cual se realiza la auditoría.
Puede tratarse de:
Tipos ■ Una organización completa o sólo de unos centros de producción.

■ Todo el Sistema de Gestión de Seguridad de la Información o sólo de
algunas áreas, departamentos, o funciones.
La figura del cliente y del auditado coinciden en la misma organización o

persona cuando es ésta la que encarga a un tercero (una entidad de
Coincidencia entre
certificación, por ejemplo) la realización de la auditoría de su propio Sistema de
Cliente y Auditado
Gestión de Seguridad de la Información (a fin de recibir un certificado y/o ser
incluido en un registro de empresas certificadas).
■ Enlace con los auditores para planificar la auditoria

■ Suministrar acceso a las áreas a auditar.
■ Suministrar la información y datos requeridos por los auditores.
Funciones del Auditado ■ Cooperar con los auditores para facilitar la auditoria.
■ Animar a los empleados a participar.
■ Actuar sobre los hallazgos de la auditoria.
■ Suministrar recursos para las acciones correctivas y preventivas.
Ejemplo Resumen
Un ejemplo claro que permite distinguir a los tres, se da en las auditorías de proveedores, en las que
intervienen los tres miembros:
■ Por un lado el cliente de la auditoría, que es la empresa que demanda los servicios del proveedor.
■ Por otro el auditado, que se corresponde con el proveedor.
■ Y finalmente el auditor, que es la organización contratada para realizar la auditoría.
13
TIPOS DE AUDITORÍAS
Las auditorías pueden ser clasificadas, en base a su origen, como:
■ Auditorías internas, realizadas con fines internos por la organización o en su nombre.

■ Auditorías externas, realizadas por auditores que no pertenecen a la organización auditada.
A las auditorías internas se las conoce también como auditorías de primera parte, mientras que a las
auditorías externas se las conoce como auditorías de segunda o de tercera parte:
Realizadas con fines internos por la organización o en

Auditorías Internas De primera parte
su nombre.
Realizadas por los clientes de una organización o por

De segunda parte otras personas en su nombre. Un ejemplo de este tipo
son las auditorías de proveedores.
Auditorías Externas
Realizadas por organizaciones externas
independientes, que proporcionan la certificación o
De tercera parte
registro de conformidad con los requisitos contenidos
en la norma.
En cualquier caso, es un requisito básico la independencia del auditor de las actividades auditadas.
La credibilidad del auditor se basa en que sea, y sea visto, como objetivo e independiente, para que la
credibilidad de los resultados de la auditoría no se vea comprometida.
Esta independencia es particularmente crítica en la realización de auditorías internas de comprobación

de la adecuación del sistema.
14
Por otro lado, las auditorías para evaluar la conformidad de las actividades realizadas en relación con la
documentación del sistema sí pueden ser llevados a cabo por auditores propios de la empresa sin que se
vea comprometida la condición de independencia, siempre y cuando esos auditores no estén
directamente implicados en las actividades objeto de auditoría.
Asimismo, las auditorías internas son mucho más asequibles a todo tipo de empresas y cuentan con la
ventaja de un mayor conocimiento del proceso productivo por parte del personal auditor. Todo ello
puede conducir a un reducido tiempo de realización y, como consecuencia, a la posibilidad de llevarlas a
cabo con frecuencia, de forma que el sistema de auditorías se acabe convirtiendo en un medio habitual y
rutinario de supervisión y mejora.
ARTÍCULO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes encontrar un artículo de

interés en el que el autor, Denise Robitaille, discute como lograr lo mejor del proceso de auditoría y de
los auditados.
Un trabajo desde dentro: auditorías internas
15
Comprender el proceso de certificación de la empresa:
AUDITORÍAS Y CERTIFICACIÓN DE LA EMPRESA
Una vez implantado el Sistema de Gestión, el siguiente paso es que la propia organización se asegure y
pueda asegurar de cara al exterior, que dicho sistema funciona eficazmente en el marco de una política
de calidad prefijada y que sus productos/Servicio poseen la calidad requerida.
La auditoría y la certificación surgen, de este modo, como herramientas vitales para cubrir estas
necesidades.
Certificación
La certificación es un modo de confirmar, en general, de cara al exterior de la empresa, que la
organización es capaz de asegurar la calidad de sus productos.
Se trata de un certificado expedido por un organismo reconocido oficialmente en el que se identifica

la conformidad del Sistema de Gestión de la empresa de acuerdo con la norma, en la que se basa dicho
sistema.
Es decir, la certificación tras las auditorías de comprobación, identifica la conformidad de un producto o

de un sistema con los requisitos contenidos en una Norma.
La certificación del sistema es de carácter voluntario y la realiza una entidad privada, organismo
independiente de la organización, la cual ha de estar acreditada por una entidad de acreditación.
Así por ejemplo, para el caso de España, la entidad debe estar acreditada por ENAC (Entidad Nacional
de Acreditación).
Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes visualizar un vídeo

ilustrativo del tema, desarrollado por Bureau Veritas Certificación.
16
Ventajas de la Certificación
■ Mejora la imagen exterior de la empresa aumentando su credibilidad.

■ Mayor transparencia.
■ Incremento de la confianza de los consumidores, distribuidores y autoridades gubernamentales.
■ Aumenta la capacidad competitiva de la organización.
■ Accesos a nuevos mercados y especificaciones de clientes.
■ Supone un argumento comercial eficaz.
■ Disminuye el número de Auditorías Internas por parte de los clientes.
Una vez que la entidad otorga el certificado, éste tiene una validez limitada. Al finalizar ese período de
tiempo es necesario realizar otra auditoría para su renovación, de este modo se comprueba el
mantenimiento de las condiciones de concesión del certificado.
Generalmente, una vez obtenido el certificado tiene un período de validez de tres años, una vez
finalizado este período se realiza otra auditoría para su renovación y en el transcurso del mismo se
realizan auditorías de seguimiento de forma anual.

descargar el Esquema General de un Proceso de Certificación.
17
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
DEBATE
18
ACTITUD
LA ESCUCHA ACTIVA
Escuchar, entender y comprender la comunicación emitida por la persona que habla o da una opinión.
El acto de escuchar es probablemente la herramienta más importante de la que disponen una persona
para influir en los demás.
Pero, para influir en los demás es necesario centrar los esfuerzos en entender primero lo que la otra
persona nos quiere decir.
Escuchar significa ser capaz de aceptar lo que la otra persona expresa, y en ningún caso ignorar lo que
el otro tiene que decir.
Escuchar de verdad es una tarea difícil. Es habitual prestar atención a la mitad o solo a una parte de lo
que se nos dice. Es más, fingimos que atendemos con frases como: “si te estoy escuchando, continúa”,
cuando en realidad hace tiempo que la persona ha desconectado de lo que están comentando.
Es imprescindible en todo proceso de escucha activa con el fin de escuchar de verdad los que la otra
persona dice:
■ Resumir lo hablado con la otra persona.

■ Hacer preguntas para obtener si es posible mayor información.
■ Determinar y clarificar el tema que centraba la conversación.
19
902 350 077
formacion@bvbs.es
Comprender los Principales Aspectos que

Reúnen las Auditorías de un SGSI
ll
Planificar y Preparar la Auditoría a un Sistema

de Gestión de la Seguridad de la Información

PLANIFICAR Y PREPARAR LA AUDITORÍA A UN SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de gestionar los programas
de auditoría y planificar y preparar una auditoría a un sistema de gestión, ya sea esta de primera,
segunda o tercera parte.
CONOCIMIENTOS
Entender a Gestión de un Programa de Auditorías. Analizar la Revisión y Mejora del Programa de Auditoría.
Conocer los Pasos a Seguir en la Preparación de una
Conocer los Objetivos del Programa de Auditoría.
Auditoría.
Analizar el Establecimiento del Programa de Auditoría. Reconocer una Lista de Verificación.
Implementar el Programa de Auditoría. Conocer Formatos de Notas de Hallazgo.

Conocer otros Documentos Útiles en la Preparación de
Entender el Seguimiento del Programa de Auditoría.
Auditorías
HABILIDADES
Trabajo Individual: Realizar la Planificación y Preparación de un plan de auditoría. A realizar a lo largo

de esta Unidad de Competencia.
Caso Práctico Colaborativo: Evaluar si el sistema de gestión implantado en la empresa cumple los
requisitos exigidos por la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Valorar la influencia de la normalización para aumentar la seguridad y confianza de los

consumidores. A realizar a lo largo del Módulo/Curso.
ACTITUD
Objetividad
AUTOEVALUACIÓN
Programa de Auditorías. Revisión y Mejora del Programa de Auditoría.
Objetivos del Programa de Auditoría. Preparación de una Auditoría.
Establecimiento del Programa de Auditoría. Lista de Verificación.
Implementar el Programa de Auditoría. Notas de Hallazgo.
Otros Documentos Útiles en la Preparación de
Seguimiento del Programa de Auditoría.
Auditorías
Planificar y Preparar la Auditoría a un Sistema de Gestión de la Seguridad de la Información
2
GESTIÓN DE UN PROGRAMA DE AUDITORÍA
Las organizaciones que deseen llevar a cabo auditorías, deben de establecer previamente programas
de auditorías que contribuyan a la determinación de la eficacia del sistema de gestión auditado. Estos
programas pueden incluir auditorías que tengan en consideración una o más normas de sistemas de
gestión, llevadas a cabo de manera individual o combinada.
Un programa de auditoría debe incluir la información y recursos necesarios para organizar y llevar a
cabo las auditorías de forma eficaz y eficiente dentro de los periodos de tiempo que se encuentran
especificados. Además, el programa puede incluir:
Contenidos del Programa de Auditoría
■ Objetivos para este programa de auditoría y las auditorías individuales.

■ Alcance de la auditoría.
■ Procedimientos del programa de auditoría.
■ Criterios de auditoría.
■ Métodos de auditoría.
■ Selección del equipo auditor.
■ Recursos necesarios.
■ Procesos para tratar la confidencialidad, la seguridad de la información, la salud y la seguridad y
otros asuntos similares.
3
Un programa de auditoría debe seguirse y medirse de forma que pueda asegurarse que se han
alcanzado sus objetivos, contando siempre con el hecho de poder realizar revisiones para identificar
posibles mejoras.
El siguiente esquema refleja el proceso para la gestión de un programa de auditoría.
4
OBJETIVOS DEL PROGRAMA DE AUDITORÍA
La alta dirección de la organización debe asegurarse de que los objetivos del programa de auditoría
se han establecido para dirigir la planificación y realización de auditorías y asegurándose de que el
programa se ha implementado eficazmente.
Los objetivos del programa de auditoría siempre deben de ser coherentes además de servir de apoyo
a la política y los objetivos del sistema de gestión.
Consideraciones a Tener en Cuenta
Los objetivos del programa deben tener en cuenta aspectos como los que siguen:
■ Prioridades de la dirección.
■ Propósitos comerciales y de negocio.
■ Características de procesos, productos y proyectos, y cualquier cambio en ellos.
■ Requisitos del sistema de gestión.
■ Requisitos legales y contractuales así como otros requisitos con los que la organización esté
comprometido.
■ Necesidad de evaluar a los proveedores.
■ Necesidades y expectativas de cualquier parte interesada, incluyendo los clientes.
■ Nivel de desempeño del auditado.
■ Riesgos para el auditado.
■ Resultados de auditorías previas.
■ Riesgos y Oportunidades del Sistema de Gestión.
■ Nivel de madurez del sistema de gestión que se audita.
5
ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA
El programa de auditoría debe estar gestionado por una persona con las competencias necesarias para
garantizar su gestión de una manera eficiente y eficaz, así como conocimientos y habilidades en áreas
relacionadas con la norma del sistema de gestión auditado, complementado con documentación de
referencia, incluyendo legislación, fichas de procesos, etc.
Funciones del Programa de Auditoría
■ Establecer el alcance del programa de auditoría.

■ Identificar y evaluar los riesgos para el programa de auditoría.
■ Establecer las responsabilidades de la auditoría.
■ Establecer procesos/ procedimientos para los programas de auditoría.
■ Determinar los recursos necesarios.
■ Asegurarse de la implementación del programa de auditoría.
■ Asegurarse de que se gestionan y mantienen los registros del programa de auditoría.
■ Seguimiento, revisión y mejora del programa de auditoría.
La persona responsable de la gestión del programa de auditoría debe informar a la alta dirección de los
contenidos del programa de auditoría y, de esta forma, solicitar su aprobación.
Alcance del Programa de Auditoría

El alcance del programa de auditoría puede variar en función del tamaño y la naturaleza del auditado,
así como la de la naturaleza, funcionalidad, complejidad y nivel de madurez del sistema de gestión
que se va a auditar. Es más, en algunos casos, el programa de auditoría puede consistir únicamente en
una auditoría sencilla.
Factores Influyentes en el Programa de Auditoría
■ Objetivo, alcance y duración de cada auditoría.

■ Número de auditorías a llevar a cabo.
■ Número, importancia, complejidad, similitud y la ubicación de las actividades que se van auditar.
■ Factores que influyen en la eficacia del sistema de gestión.
■ Conclusiones de auditorías previas.
■ Idioma, el contexto cultural y social.
■ Cambios significativos de las actividades del auditado.
■ Etc.
6
Identificación y Evaluación de los Riesgos Relacionados con el Programa de
Auditoría
A la hora de elaborar un programa de auditoría, pueden surgir muchos riesgos asociados con su
establecimiento, implementación, seguimiento, revisión y mejora, que pueden afectar al logro de los
objetivos establecidos en el programa.
Riesgos
Los riesgos pueden estar asociados con las siguientes cuestiones:
■ Planificación: fallos al determinar el alcance de la auditoría, al establecer objetivos, etc.

■ Recursos: falta de tiempo para desarrollar el programa de auditoría, etc.
■ Selección del equipo auditor: falta de competencia colectiva del equipo auditor.
■ Implementación, por ejemplo, comunicación ineficaz del programa.
■ Registros y controles: no proteger los registros de auditoría para demostrar la eficacia del
programa de auditoría.
■ Seguimiento, revisión y mejora del programa de auditoría: no seguir el programa o seguirlo
ineficazmente.
Proceso/ Procedimiento para el Programa de Auditoría

La persona responsable de la gestión del programa de auditoría debe establecer un procedimiento,
dónde se establezcan los requisitos para:
Contenidos del Proceso/ Procedimiento
■ Planificación y elaboración del calendario de las auditorías, considerando los riesgos relacionados.
■ Aseguramiento de la seguridad y confidencialidad de la información.
■ Aseguramiento de la competencia de los auditores.
■ Selección de equipos de auditores apropiados con las competencias necesarias.
■ Realización de las auditorías incluyendo el uso de métodos adecuados de muestreo.
■ Seguimiento de la auditoría.
■ Comunicación a la dirección de la organización los logros globales del programa de auditoría.
■ Conservación de los registros del programa de auditoría.
7
Identificación de los Recursos del Programa
A la hora de elaborar un programa de auditoría se deben de tener en cuenta los recursos que deben
asignarse a éste:
Recursos Asignados al Programa
■ Financieros: que se necesitarán para desarrollar, implementar, gestionar y mejorar las actividades
de auditoría.
■ Métodos de la auditoría.
■ Disponibilidad de auditores y expertos técnicos con la experiencia apropiada.
■ Alcance del programa de auditoría y los riesgos relacionados con el programa.
■ Tiempo y costes de transporte, alojamiento y otras necesidades de la auditoría.
■ Disponibilidad de tecnologías de la información y comunicación.
8
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA
Para poner en práctica el programa de auditoría definido previamente, se deben de seguir al menos, los
siguientes pasos:
■ Comunicar a las partes pertinentes del programa de auditoría.

■ Definir los objetivos, el alcance y los criterios de auditoría.
■ Coordinar y programar las auditorías y otras actividades relativas al programa de auditoría.
■ Asegurar la selección de equipos de auditores competentes.
■ Proporcionar recursos necesarios a los auditores.
■ Asegurar la realización de las auditorías de acuerdo con el programa de auditoría y dentro de los
plazos fijados.
■ Registrar las actividades de auditoría y que los registros se gestionan y mantienen
adecuadamente.
Alcance, Objetivos y Criterios de la Auditoría

Cada auditoría individual debe basarse en unos objetivos, un alcance y unos criterios de auditoría
documentados, los cuáles deben ser coherentes con los objetivos globales del programa de auditoría.
Alcance de la Auditoría
Describe la extensión y los límites de la auditoría, tales como ubicación, actividades, procesos, etc.
El alcance de la auditoría debe reflejar adecuadamente el alcance del Sistema de Gestión del cliente y de
los productos cubiertos por el Sistema de Gestión, de modo que se especifiquen claramente los procesos,
actividades, productos y servicios que se realizan, así como los lugares de realización, incluyendo las
subcontrataciones realizadas.
Dependiendo del caso, y en función de los procedimientos del programa de auditoría, éste vendrá
determinado por el cliente y verificado por el líder del equipo auditor.
El alcance vendrá determinado por todas las unidades de trabajo que estén
Auditorías de integradas en el sistema implantado por la organización del cliente.
Certificación Voluntaria
También se conocen como Auditorías de Tercera Parte.
En este caso el cliente no es el proveedor, sino el contratista de los servicios,

con lo que el alcance vendrá determinado por dicho contratista.
Auditorías de Se auditarán sólo aquellos productos o áreas de trabajo que se hayan
Proveedores contratado.
También conocidas como Auditorías de Segunda Parte.
9
En este caso, el cliente es la propia dirección, de modo que el alcance vendrá
determinado por la dirección de la organización y normalmente se limita a lo
Auditorías Internas establecido en el programa de auditorías internas.
También conocidas como Auditorías de Primera Parte.
Objetivos de la Auditoría
Definen qué es lo que se va a lograr con la auditoría y deben ser concretados por el cliente de la
auditoría. Estos pueden incluir:
■ La determinación del grado de conformidad del Sistema de Gestión del auditado, con los
criterios de auditoría.
■ La evaluación de la capacidad del sistema de gestión para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales.
■ La evaluación de la eficacia del sistema de gestión implantado.
Criterios de la Auditoría
Se utilizan como una referencia para determinar la conformidad. Pueden incluir:
■ Políticas y procedimientos.
■ Normas, leyes y reglamentos aplicables.
■ Requisitos contractuales o del sistema de gestión.
■ Códigos de conducta de los sectores aplicables.
Selección de los Métodos de Auditoría

La persona responsable de gestionar el programa de auditoría debe seleccionar también aquellos
métodos que faciliten poder llevar a cabo la auditoría de una manera eficaz, dependiendo de los
objetivos, el alcance y los criterios que se hayan definido para tal auditoría.
10
Métodos Aplicables en Auditoría
Grado de Implicación
entre Auditor y
Ubicación del Auditor
Auditado en la
Preparación
In Situ A Distancia
■ Mediante medios de comunicación

■ Realización de entrevistas. interactivos:
■ Cumplimentación de listas de
verificación y cuestionarios con - Realización de entrevistas.
Interacción Auditor-
Auditado la participación del auditado. - Cumplimentación de listas de
■ Revisión de documentos con la verificación y cuestionarios.
participación del auditado. - Revisión de documentos con la
■ Muestreo. participación del auditado.
■ Revisión de documentos. ■ Revisión de documentos.

■ Observación del trabajo ■ Observación del trabajo desempeñado
desempeñado. mediante medios de vigilancia,
Sin Interacción Auditor-
Auditado ■ Realización de visitas al sitio. tomando en consideración requisitos
■ Cumplimentación de listas de legales y sociales.
verificación. ■ Análisis de datos.
■ Muestreo.
Para el caso de actividades de auditoría interactivas, la interacción se producirá entre el personal

auditado y el equipo auditor. En el caso de las actividades en las que no existe esta interacción personal,
no dejará de implicar de igual forma, una interacción con equipos, instalaciones y documentación de la
organización auditada.
Lugar de Realización de las Actividades
In Situ En las propias instalaciones del auditado.
En cualquier ubicación diferente a las instalaciones del auditado, sin tener en

A Distancia
cuenta la distancia.
11
En el caso de las auditorías externas, es la entidad auditora la que designa al
líder del equipo, el cual será el encargado de:
■ Estudiar la documentación del auditado.

■ Designar al equipo auditor.
Auditorías Externas
■ Coordinar y supervisar todo el proceso.
■ Representar al equipo auditor ante la empresa auditada.
■ Participar en la ejecución de la auditoría.
■ Preparar el informe de desviaciones final.
■ Hacer el seguimiento y cierre de las desviaciones detectadas.
■ En relación con las auditorías internas, el líder del equipo auditor será la
persona o empleado que se designe como tal, según lo establecido en el
Auditorías Internas procedimiento correspondiente de auditorías.
■ Éste debe ser independiente del área a auditar, debiendo tener a su vez
conocimiento de ella.
Periodicidad
Esta variará según el tipo de auditoría del que se trate:
Dependen de la entidad auditora. Una vez obtenido el certificado, éste, por lo

general, tiene un periodo de vigencia de 3 años, tras el cual, es necesario
realizar otra auditoría para su renovación.
Auditorías de
Certificación Voluntaria
En el transcurso del mismo, deben realizarse auditorías de seguimiento, como
mínimo, con periodicidad anual, o según establezca cada Organismo
Certificador.
Al principio sería recomendable cada 3 o 6 meses. Una vez que el sistema de

gestión lleve tiempo funcionando, se puede espaciar a una sola auditoría anual.
Auditorías Internas
Se ha de considerar la complejidad de la actividad que se audita, así como la
información disponible sobre no conformidades de auditorías precedentes.
12
Viabilidad de la Auditoría
Previamente a la realización de la auditoría, deberá determinarse la viabilidad de ésta, teniendo en
cuenta factores tales como la disponibilidad de:
■ Información suficiente y apropiada para planificar la auditoría.

■ Cooperación adecuada del auditado.
■ Tiempo y recursos adecuados.
En caso de que la auditoría no fuera viable, se deberá proponer al cliente de la auditoría, una alternativa
tras consultar con el auditado.
Selección del Equipo Auditor

Una vez que la auditoría se considere viable, se debe seleccionar el equipo auditor teniendo en cuenta
la competencia necesaria para llevar a cabo la auditoría.
En caso de que haya un único auditor, éste deberá desempeñar todas las tareas aplicables al auditor jefe
y ser competente para auditar todas las áreas y procesos.
Tanto el cliente como el auditado podrían requerir la sustitución de miembros del equipo auditor con
argumentos razonables, como situaciones de conflicto de intereses, por un comportamiento no ético, etc.
Consideraciones
Para la selección del equipo auditor, se debe tener

en cuenta
■ Requisitos legales, reglamentarios,
■ Independencia del equipo auditor para
contractuales y de acreditación/certificación,
interactuar eficazmente con el auditado y
según sea aplicable.
trabajar conjuntamente.
■ Cohesión del equipo.
■ Conocimiento de la Norma aplicable.
■ Disponibilidad.
■ Conocimientos técnicos.
■ Idioma.
■ Conocimientos de requisitos legales.
■ Comprensión de las características sociales y
■ Habilidades de auditor.
culturales particulares del auditado.
■ Habilidades de dirección de equipos.
■ Necesidades de formación.
■ Aceptabilidad por el auditado.
13
Pasos para la Selección
El proceso de asegurar la competencia global del equipo auditor, deberá incluir los siguientes pasos:
■ Identificación de los conocimientos y habilidades necesarias para alcanzar los objetivos de la

auditoría.
■ Selección de los miembros del equipo auditor de modo que todo el conocimiento y las habilidades
necesarias, estén presentes en el equipo auditor.
Si los conocimientos y habilidades necesarios no se encuentran cubiertos en su totalidad por los

auditores del equipo auditor, éstos pueden subsanarse, incluyendo expertos técnicos.
Los auditores en formación pueden incluirse en el equipo auditor, pero no deberán auditar sin una
dirección u orientación.
Sustitución de Miembros del Equipo
Tanto el cliente de la auditoría como el auditado, pueden solicitar la sustitución de algún miembro del
equipo auditor con argumentos razonables.
Para ello se deberá comunicar al líder del equipo auditor y demás responsables, los cuales deberán
resolver el problema con el cliente de la auditoría y el auditado, antes de tomar alguna decisión sobre la
sustitución de los miembros del equipo auditor.
Ejemplos:
■ Un miembro del equipo auditor es un antiguo empleado del auditado.

■ Un miembro del equipo auditor ha prestado servicios de consultoría al auditado.
■ Un miembro del equipo auditor es un viejo amigo del auditado.
14
Establecimiento del Contacto Inicial con el Auditado
El contacto inicial con el auditado, por parte del líder del equipo, será más o menos formal en función del
tipo de auditoría.
En este contacto inicial se determinarán:
■ Canales de comunicación y personas de contacto, por parte del auditado y del equipo auditor.
■ Plazos y composición del equipo auditor.
■ Actividades que se realizan en la organización.
■ Tamaño de la organización.
■ Complejidad de las operaciones.
■ Grado de preparación (para recibir la auditoría).
■ Acceso a la documentación pertinente.
■ Acuerdo sobre la presencia de guías y observadores.
■ Reglas de seguridad y preparativos para la auditoría.
15
SEGUIMIENTO DEL PROGRAMA DE AUDITORÍA
Es necesario realizar un seguimiento del programa de auditoría con el objetivo de evaluar:
■ La conformidad con los programas de auditoría, calendarios y objetivos de la auditoría.

■ El desempeño de los miembros del equipo auditor.
■ La capacidad de los miembros del equipo auditor para implementar el plan de auditoría.
■ La retroalimentación de la alta dirección, de los auditados, los auditores y otras partes interesadas.
Motivos que Pueden Producir Modificaciones en el Programa de Auditoría
El programa de auditorías puede verse modificado por razones como:
■ Los hallazgos de la auditoría.

■ El nivel demostrado de la eficacia del sistema de gestión.
■ Los cambios en el sistema de gestión del auditado o del cliente de la auditoría.
■ Cambios en normas, requisitos legales, requisitos contractuales o cualquier otro requisito con los
que la organización está comprometida.
■ Cambio de proveedor.
■ Contexto de la Organización.
■ Riesgos y Oportunidades del SGSI.
16
REVISIÓN Y MEJORA DEL PROGRAMA DE AUDITORÍA
Un programa de auditoría siempre debe ser revisado para evaluar si se han alcanzado los objetivos
fijados previamente. De esta forma, las conclusiones de la revisión deben actuar como elemento de
entrada para el proceso de mejora continua del programa:
Factores a Tener en Cuenta en la Revisión del Programa de Auditoría
■ Resultados y tendencias del seguimiento del programa de auditoría.

■ Conformidad con los procesos / procedimientos del programa de auditoría.
■ Evaluación de las necesidades y expectativas de las partes interesadas,
■ Registros del programa de auditoría.
■ Métodos de auditoría alternativos o nuevos.
■ Eficacia de las medidas para tratar los riesgos asociados con el programa de auditoría.
■ Confidencialidad y seguridad de la información relacionados con el programa de auditoría.
La persona responsable de gestionar el programa de auditoría será la encargada de llevar a cabo las
actividades de mejora para el mismo mediante diferentes actividades:
Gestión de la Mejora del Programa de Auditoría
■ Revisando la implementación global del programa de auditoría.

■ Identificando las áreas de mejora.
■ Modificando el programa si es necesario.
■ Revisando el desarrollo profesional continuo de los auditores.
■ Informando a la alta dirección de los resultados de la revisión del programa de auditoría.
17
PREPARACIÓN DE LA AUDITORÍA
Una vez planificada la auditoría y seleccionado el equipo auditor, se procederá a preparar la auditoría, lo
que incluye:
■ La elaboración de un plan de auditoría.

■ La asignación de tareas al equipo auditor.
■ La preparación de los documentos de trabajo.
Elaboración del Plan de Auditoría

El líder del equipo auditor, será el encargado de preparar un plan de auditoría que proporcione la
programación y las características básicas de la misma. Éste, deberá ser conocido previamente por los
auditores, el cliente de la auditoría y los auditados, debiendo ser revisado y aprobado por el cliente de
la auditoría y presentado al auditado antes de que comiencen las actividades de auditoría.
El nivel de detalle puede diferir en función del tipo de auditoría, ya bien sea:
■ Inicial o posterior.
■ Interna o externa.
No obstante, el plan debe diseñarse de manera flexible de cara a permitir posibles cambios que puedan
llegar a ser necesarios a medida que éste se pone en práctica.
Contenido
De manera general, un plan de auditoría debe incluir:
■ Objetivos de la auditoría.
■ Criterios de auditoría.
■ Documentos de referencia.
■ Alcance de la auditoría.
General
■ Fechas y lugares para la realización de las actividades de auditoría.
■ Hora y duración estimadas, incluyendo las reuniones con la dirección del
auditado y con el equipo auditor.
■ Funciones y responsabilidades de los miembros del equipo auditor y de
los acompañantes.
■ Asignación de los recursos necesarios a las áreas críticas de la auditoría.
18
Cuando sea apropiado, incluirá:
■ Identificación del representante del auditado en la auditoría.

■ Idioma de trabajo y del informe de la auditoría, cuando sea diferente del
idioma del auditor y/o auditado.
Específico ■ Asuntos del informe de auditoría.
■ Preparativos logísticos: viajes, recursos disponibles, etc.
■ Puntos relacionados con la confidencialidad.
■ Acciones de seguimiento de la auditoría.
■ Cláusulas/ Procesos / Funciones a auditar.
■ Criterios de auditoria.

descargar un Ejemplo Formato de un Plan de Auditoría para la Certificación de
una empresa dedicada a la venta de materiales de construcción.
Asignación de Tareas al Equipo Auditor

El líder del equipo auditor, en consulta con el equipo auditor deberá asignar a cada miembro del equipo,
las responsabilidades, funciones, lugares, áreas y actividades a auditar. Para ello deberá tener en
cuenta:
■ La independencia y competencia de los auditores.

■ El uso eficaz de los recursos.
■ Las diferentes funciones y responsabilidades de los auditores, auditores en formación y expertos
técnicos.
En cualquier caso, la asignación de tareas debe diseñarse de manera flexible, para permitir cambios que
puedan llegar a ser necesarios a medida que se van desarrollando las actividades de auditoría.

puedes visualizar un vídeo ilustrativo del tema, en el que se dan a conocer
los documentos de trabajo que el auditor debe preparar de cara a la
realización de una auditoría.
19
LISTA DE VERIFICACIÓN
La lista de verificación también se conoce como lista de chequeo o check-list. Se trata de un documento
personal del auditor que contiene las preguntas que éste hará al auditado en cada una de las áreas
correspondientes.
Resulta de gran utilidad, ya que puede servir:
■ De guía para el auditor.

■ De registro documental donde recoger los hallazgos detectados.
El formato a emplear es libre, se trata de un documento de trabajo personal que servirá de guía al
auditor en el transcurso de la auditoría por lo que debe ser rápido de leer y de manejar. Un requisito
fundamental es que el auditor se sienta cómodo utilizándolo.
Debe incluir todos los requisitos que se exigen en la norma de referencia, pudiendo para ello ser
conveniente, seguir el mismo orden establecido en dicha norma.

descargar un Ejemplo de Lista de Verificación.
20
NOTAS DE HALLAZGO
El formato de registro de hallazgos se trata de un documento donde el auditor puede desarrollar por
escrito un hallazgo siendo utilizado para decidir si tal hallazgo constituye o no, una no conformidad, una
desviación o, simplemente, una observación.
Su utilización es libre, e incluso hay auditores que no emplean este documento y prefieren describir el
hallazgo en la propia lista de verificación.
Información Mínima del Formato de Registro de Hallazgos
Cada nota de hallazgo debe incluir como mínimo la siguiente información:
■ Departamento, área o actividad.

■ Fecha.
■ Tipo de auditoría.
■ Numeración correlativa.
■ Punto de la norma al que afecta.
■ Texto indicando la evidencia del hallazgo observado.
■ Nombre o nombres de las personas involucradas.
■ Firma del auditor.
■ Criterios de auditoria.

descargar un Ejemplo de Formato de Nota de Hallazgo.
21
OTROS DOCUMENTOS ÚTILES EN LA PREPARACIÓN DE AUDITORÍAS
Otros documentos y registros que pueden resultar de utilidad en la preparación de la auditoría es la
recogida en la siguiente tabla:
Otros Documentos
■ Norma de referencia.
■ Especificaciones contractuales o administrativas.
En la Preparación
■ Procedimientos de auditoría.
■ Organigrama de la empresa, etc.
■ Plan de auditoría.
En la Reunión de
■ Certificado de cualificación del auditor.
Presentación
■ Material de presentación, etc.
■ Especificaciones contractuales o administrativas.
En la Ejecución ■ Procedimientos de auditoría.
■ Lista de verificación.
■ Formatos de registros de hallazgos, etc.
■ Material de presentación.
En la Reunión de Cierre ■ Informe final.
■ Procedimientos de auditoría, etc.
22
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
Módulo ó temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
DEBATE
23
ACTITUD
OBJETIVIDAD
Representa tener una mente abierta y libre de prejuicios, ya que sin una visión objetiva de las cosas no
se puede dirigir correctamente.
Es imprescindible ver las cosas tal y como son, y utilizar un razonamiento riguroso antes que dejarse
llevar por los sentimientos y las emociones, que claramente pueden perjudicar la visión de las cosas.
Una persona poco objetiva sólo se cree a sí misma, y confunde la realidad con sus propios deseos y
creencias.
Por tanto, para una persona que debe dirigir y coordinar a otras es fundamental mantener una postura
seria e imparcial en todo momento, afrontando las situaciones con ecuanimidad y sin ningún
apasionamiento.
Se deben evitar expresiones como “esta es mi manera de ver las cosas y no puedo entender que sea de
otro modo”, o “yo pienso así y creo que no hay otra solución distinta”.
La manera más conveniente de fomentar la objetividad es observar los problemas y las situaciones
desde todos los puntos de vista posibles, intentando escuchar todas aquellas opiniones expertas que
permitan adoptar una correcta decisión.
En el mundo de la información, siempre se dice que un medio de comunicación es objetivo cuando se

limita a registrar la realidad sin comentarios ni interpretaciones.
24
NOTAS
25
902 350 077
formacion@bvbs.es
Planificar y Preparar la Auditoría a un SGSI

ll
Llevar a cabo el Proceso de Auditoría de un

Sistema de Gestión de Seguridad de la
Información

LLEVAR A CABO EL PROCESO DE AUDITORÍA DE UN SGSI
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de evaluar la conformidad
del sistema de gestión, verificando que está implantado en la empresa y en plena vigencia, de modo que
resulte eficaz.
CONOCIMIENTOS
Desarrollar la Etapa 2 de la Auditoría.

Conocer las Etapas de la Auditoría.
Llevar a Cabo la Reunión de Apertura.
Profundizar en la Etapa 1 de la Auditoría.
Comprender el Proceso de Ejecución de la
Profundizar en la Etapa 2 de la Auditoría. Auditoría.
Conocer las Herramientas de las que el Auditor Llevar a Cabo la Reunión de Cierre.
dispone para Desarrollar una Auditoría.
HABILIDADES
Trabajo Individual: Entender la planificación y preparación de un plan de auditoría. A realizar a lo largo

de esta Unidad de Competencia.
Caso Práctico Colaborativo: Evaluar si el sistema de gestión implantado en la empresa cumple los
requisitos exigidos por la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Interpretar la importancia de la realización de auditorías internas en una empresa que tenga
implantado un SGSI. A realizar a lo largo del Módulo/Curso.
ACTITUD
Rectitud.
AUTOEVALUACIÓN
Desarrollo de la Etapa 2 de la Auditoría
Etapas de la Auditoría
Reunión de Apertura
Etapa 1 de la Auditoría
Ejecución de la Auditoría
Etapa 2 de la Auditoría
Reunión de Cierre
Herramientas para Desarrollar una Auditoría
Llevar a cabo el Proceso de Auditoría de un SGSI
2
ETAPAS DE LA AUDITORÍA
Para realizar una auditoria exitosa es necesario:
■ Una buena planificación y preparación.

■ Mantener buenas comunicaciones (con cliente, auditados y auditores).
■ Realizar una búsqueda de hechos precisa y objetiva.
El proceso de auditoría de un Sistema de Gestión consta de dos etapas diferenciadas, ambas llevadas
a cabo en las propias instalaciones de la organización auditada, siendo el líder del equipo auditor
sobre el que recae la responsabilidad de que se lleve a cabo todo el proceso de auditoría, desde el inicio
hasta que ésta finalice.
Etapas de la Auditoría de un SGC
En ella se evalúa la documentación del Sistema de Gestión de la organización:
■ Política y objetivos.
■ Procedimientos.
■ Registros.
Etapa 1 ■ Fichas de proceso.
■ Fichas de indicadores
■ Normativa aplicable.
■ Etc.
La etapa 1 está destinada a realizar una revisión documental del sistema.
Se evalúa, in situ, la conformidad del Sistema de Gestión de la organización

frente a los requisitos de la Norma con respecto a la que se está auditando.
Etapa 2
El objetivo de esta segunda etapa es evaluar la implementación y eficacia del
Sistema de Gestión del auditado.
Obviamente, la realización de la auditoría in situ es la fase que consume la mayor parte del tiempo. Sin
embargo, su éxito depende en gran medida del tiempo que se dedique a su planificación y preparación.
3

descargar el Guía elaborada por ISO e IAF, sobre la Necesidad de un enfoque de
os etapas para la auditoría.

descargar el Esquema de las etapas de la auditoría.
4
ETAPA 1 DE LA AUDITORIA
Para comenzar a familiarizarse con el sistema de gestión del auditado es necesario hacer acopio de la
documentación básica.
En ese sentido, el auditor debe revisar de manera general su contenido con el fin de:
■ Comprobar que la documentación está completa.

■ Comprender el Sistema de Gestión de Seguridad de la Información establecido en la
organización, a través de su documentación.
Finalidades de la Primera Etapa de Auditoría
A través de la revisión documental, el auditor confirmará si:
■ La organización tiene toda la documentación del sistema de gestión.

■ El SGSI incluye un proceso adecuado de evaluación del tratamiento de los riesgos de la seguridad
de la información
■ Se dispone de la legislación sobre protección de datos aplicable a las correspondientes actividades
■ El SGSI se ha diseñado para aplicar la Política de la Seguridad de la Información de la organización.
■ Los programas de validación, verificación, validación y mejora son conformes con los requisitos de
la Norma ISO 27001.
■ Se llevan a cabo revisiones de la gestión, y éstas cubren la idoneidad, adecuación y eficacia
permanente.
■ Se dispone de los documentos y disposiciones del SGSI para comunicarse internamente y con los
clientes y otros interesados.
Los resultados de esta primera etapa de la auditoría deben ser documentados y comunicados a la
organización. En este informe quedará reflejado:
■ La adecuación de la documentación del Sistema de Gestión.

■ El análisis por la organización auditada de los aspectos clave.
■ El nivel de implementación del Sistema de Gestión, de forma que se decida si la organización está
preparada para llevar a cabo la segunda etapa de la auditoría.
Si el auditor encontrase anomalías o considerase que la norma no ha sido correctamente aplicada, puede
llegar a posponer o cancelar la segunda etapa de la auditoría, hasta que las desviaciones
encontradas en la revisión documental del sistema sean subsanadas.
5
ETAPA 2 DE LA AUDITORÍA
Una vez superada la primera etapa de la auditoría, incluyendo, si es necesario, la realización por parte
del auditado de las acciones indispensables para que esto sea así, se llevaría a cabo el desarrollo de la
segunda etapa de la auditoría, por parte del equipo auditor, y de nuevo, en las instalaciones de la
organización auditada.
Entre la realización de las dos etapas de auditoría no deben transcurrir más de seis meses de intervalo.
De hecho, si este intervalo de tiempo se supera, debe volver a repetirse la etapa 1 de auditoría, ya que
en ese entretiempo pueden haberse producido cambios significativos que no hayan sido contemplados
en la primera ocasión.
En la etapa 2 de auditoría, las partes del Sistema de Gestión que, auditadas durante la primera etapa, el
auditor estime que se encuentran perfectamente implementadas y conformes con los requisitos, no
tendrán que volver a ser re-auditadas.
El propósito de esta segunda etapa es evaluar la implementación y eficacia del Sistema de Gestión de
la organización.
Finalidades de la Segunda Etapa de Auditoría
El auditor debe evaluar:
■ La información y evidencias de la conformidad con todos los requisitos de la ISO 27001.

■ La realización de actividades de seguimiento, medición, informe y revisión con relación a los
principales objetivos y metas de ejecución.
■ El SGSI de la organización y su desempeño con respecto al cumplimiento legal.
■ El control operacional de los procesos del cliente.
■ Las auditorías internas realizadas y revisión por la dirección.
■ La responsabilidad de la dirección en relación con las políticas del cliente.
■ Las relaciones entre los requisitos normativos, política, objetivos y metas de desempeño, cualquier
requisito aplicable, responsabilidades, competencia del personal, operaciones, procedimientos,
datos de la ejecución y resultados de auditoria interna
6
HERRAMIENTAS PARA DESARROLLAR UNA AUDITORÍA
Para obtener la mayor cantidad de información posible durante el desarrollo del proceso de una auditoría,
el equipo auditor puede ayudarse de una serie de herramientas para conseguir este fin.
Contacto Inicial con el Auditado

Antes de la realización de la auditoría, es conveniente que se establezca un primer contacto por parte del
líder del equipo auditor con el auditado, ya sea de una manera formal o informal.
Objetivos Contacto Inicial
■ Establecer comunicaciones con los representantes del auditado.

■ Confirmar la autoridad para llevar a cabo el proceso de auditoría.
■ Proporcionar información acerca de los objetivos de auditoría, el alcance y la composición del
equipo auditor.
■ Solicitar acceso a la documentación del sistema con el objetivo de realizar una planificación de la
auditoría.
■ Determinar los requisitos legales y contractuales aplicables y otros requisitos permanentes para
las actividades y productos del auditado.
■ Determinar la necesidad de la presencia de observadores, guías o expertos técnicos durante la
auditoría.
Comunicación Durante la Auditoría

Durante el proceso de auditoría, debe mantenerse en todo momento una comunicación fluida a todos los
niveles:
■ Entre los miembros del equipo auditor que deberán informarse y consultar periódicamente con el
fin de:
- Intercambiar información.
- Evaluar el progreso de la auditoría.
- Reasignar tareas entre los miembros del equipo auditor, en caso necesario.
■ Entre los miembros del equipo auditor y el auditado: el líder deberá comunicar periódicamente los
progresos de la auditoría y cualquier inquietud al auditado.
■ Entre los miembros del equipo auditor, y el cliente de la auditoría, cuando se considere
necesario.
7
Las no conformidades críticas, deben ser puestas en conocimiento del auditado, tan pronto se
evidencien, pero las cosas de menor importancia pueden comentarse en la reunión diaria de información.
En caso de que las evidencias disponibles de la auditoría, indiquen que los objetivos de la misma no
son alcanzables, el líder del equipo auditor deberá informar de las razones al cliente de la auditoría y al
auditado para determinar las acciones apropiadas. Estas acciones pueden incluir:
■ Modificación del plan de auditoría.

■ Cambios en los objetivos de la auditoría o en su alcance.
■ Finalización de la auditoría.
Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida que las
actividades de auditoría progresen, deberán revisarse con el cliente de la auditoría y aprobarse por
él y, cuando sea apropiado, por el auditado.
Formulación de Preguntas
Una técnica muy útil a la hora de recopilar información es la entrevista. El auditor deberá preguntar a la
gente cuáles son sus tareas, qué hacen, cómo lo hacen, qué información reciben, qué información
transmiten, etc.
Con frecuencia, los auditores sin experiencia desarrollan inspecciones amplias de documentación, con
poca aportación por parte de las personas que desempeñan las tareas.
Con el fin de que esto no ocurra, es conveniente estructurar las entrevistas de modo que se pueda
conseguir la máxima información por parte del entrevistado, en el menor período de tiempo posible.
Para minimizar posibles errores, durante la entrevista, se deben seguir una serie de pautas:
■ Diferencia semántica: desigual entendimiento del significado de las

palabras en una pregunta o respuesta.
■ Entrevista sesgada: proceso en el que la visión del entrevistador se
refleja en las preguntas e influencian las respuestas dadas por el
Fuentes de Error
entrevistado.
■ Efecto halo: interpretación positiva de todas las respuestas del
entrevistado debido a que las preguntas iniciales obtuvieron respuestas
positivas.
8
■ Elaborar listas de comprobación que guíen al auditor a través de la
entrevista.
■ Formular preguntas abiertas para obtener información.
■ Realizar el mismo tipo de preguntas a personas distintas. Así el auditor
podrá juzgar la veracidad de las respuestas.
■ Realizar las entrevistas durante las horas normales de trabajo y, cuando sea
práctico, en el lugar habitual de la persona entrevistada.
Pautas de Minimización
de Errores ■ Tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
■ Explicar la razón de la entrevista y de cualquier nota que se tome.
■ Evitar preguntas que predispongan respuestas.
Un requisito a tener en cuenta en la auditoría es que el auditado se sienta

cómodo. Para ello no se debe realizar una entrevista en forma de interrogatorio,
sino, por ejemplo, intercalando las preguntas en la conversación general.
La clave para una buena entrevista es la capacidad de escucha del auditor.
Gestión del Tiempo

Es tarea del auditor gestionar adecuadamente el tiempo, cosa que con frecuencia puede acarrear
dificultades, sobre todo en auditores sin experiencia.
Un método apropiado en este caso, consiste en dividir el tiempo disponible, entre las distintas actividades
que se van a revisar.
El auditor deberá estudiar y establecer una ruta lógica y conveniente a través del sistema, que le ayudará
a controlar las desviaciones de la misma, con el fin de minimizar el muestreo y las discusiones
irrelevantes.
9
Muestreo
El auditor deberá tener claro cuántos documentos y de qué tipo, son necesarios muestrear.
Este muestreo se puede realizar por métodos diferentes:
■ Aleatorio.
■ Estadístico.
■ Por objetivos.
■ Teniendo en cuenta un porcentaje determinado, etc.
Todos los métodos son aceptables, no obstante debe primar el sentido común.
Durante el tiempo disponible, los muestreos que se realicen deben ser representativos de la actividad
que está bajo revisión, debiendo aumentar su número si se encuentra una no conformidad o información
que pueda dar lugar a posibles problemas.
Técnicas de Muestreo
Consiste en el examen de diferentes muestras, centrado en un sólo elemento

del sistema y referido a especificaciones consideradas en un documento.
Sirve para evaluar un elemento del Sistema de Gestión con precisión y

Muestreos por Cortes exactitud, en cuanto a su grado de aplicación y cumplimiento.
Horizontales
Ejemplo: Examinar los documentos de control y seguimiento de los últimos 9
meses, que se han realizado copias de seguridad de la información, del software
y del sistema, y que se verifica periódicamente de acuerdo con la política de
copias de seguridad acordada.
Consiste en el examen de una sola muestra, centrado en varios elementos

del sistema y referido a especificaciones consideradas en varios documentos.
Es una herramienta que ayuda a evaluar un determinado número de elementos

Muestreos por Cortes del Sistema de Gestión interrelacionados entre sí, a la vez que sirve para
Verticales obtener evidencias sobre la calidad del producto final.
Ejemplo: Examinar un solo registro relacionado con la propiedad de los activos,

para valorar si todos los activos que figuran en el inventario tienen un
propietario.
10
DESARROLLO DE LA ETAPA 2 DE AUDITORÍA
Con carácter general, la etapa 2 de una auditoría se puede desarrollar en tres fases:
Entre los representantes de la empresa y el equipo auditor, durante el cual:
Reunión de Apertura ■ Se harán las presentaciones oportunas.

■ Se confirmará el programa de la auditoría y el alcance de la misma.
■ Se describirá la sistemática a seguir.
Donde se procederá a la investigación, a través del análisis de documentos,

Ejecución de la
registros y de entrevistas con el personal de la empresa, de la implementación y
Auditoría
eficacia del Sistema de Gestión de la organización.
Entre el equipo auditor y los representantes de la empresa, con objeto de

Reunión de Cierre
presentar a los responsables de la misma, los resultados de la investigación.
LECTURA RECOMENDADA
Se recomienda la lectura del Capítulo 6 – Realización de una

Auditoría, de la norma ISO 19011 “Directrices para la auditoría de
sistemas de gestión”.
11
REUNIÓN DE APERTURA
Resulta conveniente realizar una reunión de apertura con la dirección del auditado e incluso, cuando sea
apropiado, con los responsables de las funciones o procesos que se van a auditar.
Objetivos
■ Confirmar el acuerdo de todas las partes sobre el plan de auditoría.

■ Presentar al equipo auditor.
■ Asegurarse de que se pueden realizar todas las actividades de auditorías planificadas.
■ Proporcionar al auditado la oportunidad de realizar preguntas.
Procedimiento
En el caso de las auditorías internas, estas reuniones no suelen hacerse en los mismos términos que
se emplean en las auditorías externas. Así pues, por ejemplo, pueden consistir simplemente en
comunicar que se está realizando una auditoría, y explicar la naturaleza de la misma.
En otros casos, la reunión debería ser formal y manteniendo un registro de los asistentes. Esta reunión
debería ser presidida por el líder del equipo auditor debiendo tener en consideración los siguientes
puntos:
■ Presentación de los miembros del equipo auditor, incluyendo una descripción formal de sus
funciones y citando la identificación de su registro de auditor cualificado.
■ Elaboración de un registro de los asistentes.
■ Confirmación de los objetivos, alcance y criterios de la auditoría, explicando el propósito de la
auditoría, y aclarando el tipo de auditoría solicitada por la empresa.
■ Confirmación del plan de auditoría que seguirán los auditores. Éste deberá haber sido aceptado y
acordado unas semanas antes, sin objeciones por ninguna de las partes.
■ Métodos procesos y procedimientos que los auditores utilizarán para realizar su trabajo.
Información de la necesidad de tomar notas, recoger evidencias documentales y comunicarse
directamente con los poseedores de la información.
■ Confirmación de los modos de comunicación formal entre el equipo auditor y el auditado.
■ Confirmación de que durante la auditoría, el auditado será informado del progreso de la
misma.
■ Verificación de la disponibilidad de medios y recursos, tales como sala de reunión,
fotocopiadora, pases de seguridad, equipos de protección, interlocutor o guía, etc.
■ Modo de presentación de la información, incluyendo la clasificación de las deficiencias.
■ Confirmación de la garantía de confidencialidad.
12
EJECUCIÓN DE LA AUDITORÍA
Una vez concluida la reunión de apertura, y en compañía de un representante del auditado, el auditor
deberá visitar todas y cada una de las áreas funcionales establecidas en el plan de auditoría.
El examen y visita de un área de trabajo, significa realizar las siguientes actuaciones:
■ Entrevistas con el personal del área a auditar.

■ Inspecciones de las instalaciones, equipos, materiales y productos.
■ Observación de los procesos, operaciones y actividades.
■ Consulta de la documentación.
La investigación se efectuará teniendo en cuenta los requisitos correspondientes al área en curso. Para
ello, el auditor se podrá ayudar de la lista de verificación previamente realizada
El proceso a seguir es el siguiente:
13
Recopilación y Verificación de la Información
Durante el proceso de auditoría, se debe recopilar, mediante un muestreo adecuado, la información
pertinente para cubrir los objetivos, el alcance y los criterios de la misma, incluyendo la información
relacionada con las interrelaciones entre funciones, actividades y procesos. De su análisis, se extraerán
una serie de evidencias objetivas.
Fuentes de Información
Las fuentes de información a recurrir, pueden variar en función del alcance y complejidad de la auditoría,
pudiendo incluir:
■ Entrevistas con empleados u otras personas.

■ Observación de actividades, control operativo, ambiente de trabajo y condiciones externas.
■ Resultados de la monitorización y medición, de los informes y de la revisión comparados con los
principales objetivos y metas de ejecución.
■ Documentos tales como objetivos, política, procedimientos, normas, instrucciones,
especificaciones, cualquier requisito legal aplicable, etc.
■ Registros, tales como actas de reunión, informes de auditorías, resultados de mediciones,
competencia del personal, etc.

puedes visualizar un vídeo ilustrativo del tema, en el que se muestran los
aspectos importantes de la realización de Entrevistas en la Auditoría.
Búsqueda de Evidencias
Para verificar el cumplimiento real de los requisitos de la Norma y del Sistema, es necesario realizar una
búsqueda de evidencias objetivas.
14
Las evidencias de la auditoría se refieren a hechos y condiciones, que en principio pueden llegar a ser
fáciles de identificar. Sin embargo, su demostración resulta compleja si no se puede probar de una forma
tangible y objetiva. Por ello, estas evidencias deberán ser evaluadas siguiendo los criterios de
auditoría previamente definidos, hasta llegar a obtener los hallazgos y posteriores conclusiones de la
auditoría.
Las evidencias de la auditoría, se basan en muestras de la información disponible. Por tanto, siempre
habrá un cierto grado de incertidumbre, de la cual deben ser conscientes los que actúan sobre las
conclusiones de la auditoría.
Las no conformidades y las evidencias de la auditoría que las apoyan, deberán revisarse junto con el
auditado, para obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las no
conformidades se han comprendido, debiendo mantener un registro de ello.
Evaluación y Generación de Hallazgos

Una vez que el auditor ha llegado a la conclusión objetiva de que existe un incumplimiento con respecto a
lo establecido en el Sistema o norma de referencia, deberá documentarlo y elaborar una Nota de no
conformidad o desviación.
Estas notas, deben ser estudiadas junto con el responsable de calidad, o con el responsable del área
involucrada, con el fin de obtener su conformidad.
Categorización de los Hallazgos
Una vez identificadas y cuantificadas las evidencias objetivas, se procederá a su valoración, para lo cual
es necesario haber establecido previamente una clasificación.
No existe una categorización estándar, pudiendo variar en función del organismo auditor, ya bien se
trate de una auditoría interna, externa o de certificación, dependiendo en este caso de cada Organismo
Certificador. En general se suelen establecer tres categorías distintas de no cumplimiento:
Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión

de la calidad, u otras, que puede afectar directamente a la calidad del producto y
que por tanto, debe ser solucionado inmediatamente.
Ejemplos:
No Conformidad ■ No se han rectificado deficiencias del Sistema encontradas durante la última

auditoría.
■ No se ha podido comprobar la existencia de declaraciones documentadas
de la Política de Seguridad de la Información.
■ No se han definido los objetivos y las metas en materia de Seguridad de la
Información.
15
Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión,
de la legislación u otro tipo de documentación. Son fallos aislados, no
sistemáticos, que han de ser solucionados, pero que no requieren que se haga
inmediatamente.
Ejemplo:
Desviación
■ Se ha evidenciado que la información no recibe un adecuado nivel de
protección de acuerdo con la importancia para la organización, incumpliendo
el punto 8.2.2 de Etiquetado de la información, que establece que debe
desarrollarse e implantarse un conjunto adecuado de procedimientos para
etiquetar la información, de acuerdo con el esquema de clasificación
adoptado por la organización.
Hallazgo que no incumple un requisito de la norma, o del cual no se tiene

evidencia objetiva, pero que implica un alto riesgo futuro. Sería un indicativo de
malas prácticas.
Observación
Ejemplo:
■ Se detectan algunos documentos del sistema de gestión con errores en su

paginación.
Documentación de los Hallazgos
■ La justificación de los hallazgos se ha de redactar de manera clara, transparente y concisa, de forma

que sirvan para:
- Informar de los incumplimientos a la organización.
- Determinar los pasos a seguir para corregir la no conformidad.
- Establecer, en posteriores auditorías, si las no conformidades han sido solucionadas.
■ A la hora de redactar la no conformidad se suelen emplear fórmulas del tipo “se ha

evidenciado….en contra de….”.
16
Ejemplo de Nota de Desviación
La empresa "PLAGAS S.L.", perteneciente al sector químico, pretende certificarse según la ISO 27001.
Durante la visita del auditor a una de las instalaciones, ha observado y anotado lo siguiente:
La política de control de acceso a la información es indiscriminada, y no se limita el acceso a los recursos

de tratamiento de la información y a la información.
Auditor: "¿No se dispone de una instrucción para identificar correctamente las personas que acceden a la
información en cualquier momento?"
Responsable de Seguridad de la Información: "Si, están avisados de que deben informar puntualmente
después de la realización con riesgos en la seguridad de la información, ya que se solicita que los
informes los facilite cada responsable de área semanalmente”.
Al concluir la visita, el Auditor y el Responsable de Seguridad se dirigen al despacho de éste último. El

Auditor solicita el Manual de Seguridad de la empresa, y comprueba que en el punto 9.1 se refiere al
cumplimiento de las exigencias de tratamiento de la información, debe informarse única y exclusivamente
al Responsable de Seguridad y no con carácter previo al Director de su área.
Tras concluir el análisis, el auditor procede a cumplimentar la siguiente nota de hallazgo:
AUDITORÍA:
EMPRESA: PLAGAS SL
Interna
Certificación FECHA: 15-12-2015 NOTA Nº: 03
Seguimiento
Renovación
NORMA DE APLICACIÓN: ISO 27001
Punto de la norma al que afecta: 9.1.1 Política de control de acceso
Deficiencias encontradas:
La política de control de acceso a la información es indiscriminada, y no se limita el acceso a los

recursos de tratamiento de la información y a la información.
No se ejerce por tanto, un control adecuado en el cumplimiento de las exigencias de tratamiento de

la información, debe informarse única y exclusivamente al Responsable de Seguridad y no con
carácter previo al Director de su área.
Categorización: x No conformidad Desviación Observación
17
Firma del auditor: Firma del auditado:
Preparación de las Conclusiones de la Auditoría

Una vez auditadas todas las áreas, y antes de la reunión de cierre, el equipo auditor deberá realizar una
puesta en común de la información obtenida con el fin de:
■ Revisar los hallazgos de la auditoría y cualquier otra información recopilada durante la auditoría.
■ Acordar las conclusiones de la auditoría, teniendo en cuenta la falta de certidumbre propia del
proceso de auditoría.
■ Preparar recomendaciones, en caso de que así estuviera especificado en la auditoría.
■ Comentar el seguimiento de la auditoría, si así se ha definido en el plan de la misma.
18
REUNIÓN DE CIERRE
La reunión de cierre, formaliza la clausura de la auditoría en las dependencias de la empresa auditada.
Deberá ser presidida por el líder del equipo auditor y a ella asistirán en principio, los mismos miembros
que fueron convocados a la reunión de apertura, es decir, los componentes del equipo auditor y los
representantes de la empresa y áreas auditadas.
Objetivos
■ Exponer los hallazgos de la auditoría ante todas las partes interesadas con el fin de asegurar la
correcta comprensión y aceptación de los resultados.
■ Establecer, si es necesario, el intervalo de tiempo imprescindible para que el auditado presente un
plan de acciones correctivas y preventivas.
■ Supone una oportunidad para que el auditado pueda clarificar posibles equívocos, aunque en
ningún caso puede convertirse en un foro de discusión y debate.
Procedimiento
■ En muchos casos, por ejemplo, en auditorías internas en pequeñas Organizaciones, la reunión de

cierre puede consistir únicamente en comunicar los hallazgos y conclusiones de la auditoría. Sin
embargo, en otras situaciones, la reunión debería ser formal, debiendo conservarse las actas y
registros de asistencia.
■ En ocasiones, como por ejemplo, en auditorías de certificación, durante la reunión de cierre se
suele presentar el informe final con los resultados concluyentes de la auditoría. No obstante, en
otros casos, su entrega se realiza a posteriori, en una fecha acordada por todas las partes
implicadas.
■ Cualquier discrepancia relativa a los hallazgos y conclusiones de la auditoría, entre el equipo
auditor y el auditado, deberían resolverse en la mayor brevedad posible, debiendo, en caso
contrario, dejar constancia de ello mediante un registro.
■ En caso de que estuviera especificado en los objetivos de la auditoría, se deberán presentar
recomendaciones para la mejora, aunque dichas recomendaciones, no son obligatorias.
19
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
Módulo y temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
DEBATE
20
ACTITUD
RECTITUD
Actuar siempre de manera justa y de acuerdo con las circunstancias exigidas en la situación concreta.
En cualquier ámbito de la vida de una persona actuar correctamente representa, tener la conciencia
tranquila de que se ha actuado como se debía.
Una empresa debe transmitir un clima de credibilidad y justicia en todo aquello que hace, y que esta
confianza se vea reflejada en las acciones y comportamientos que realicen sus trabajadores.
En el trabajo diario es necesario ser responsable de los actos realizados y que éstos sean conformes a
las normas y procedimientos que se consideran adecuados y justos.
La rectitud ofrece seguridad y certeza en base al cumplimiento de los compromisos y la integridad de las
actuaciones realizadas.
Una persona que se deje influenciar o que tenga diversos criterios de actuación en una situación, no se
puede considerar una persona recta, además vulneraría claramente los principales valores que
acompañan a la rectitud como son la justicia, la sinceridad e integridad y por supuesto la equidad.
21
902 350 077
formacion@bvbs.es
Llevar a cabo el Proceso de

Auditoría de un SGSI
ll
Analizar la Elaboración del Informe de Auditoría

de un SGSI

ANALIZAR LA ELABORACIÓN DEL INFORME DE AUDITORÍA DE UN SGSI
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de identificar los pasos
necesarios para elaborar un informe final de auditoría constructivo, con el objetivo de dar un valor
añadido al proceso de auditoría.
CONOCIMIENTOS
Analizar el proceso de Aprobación y Distribución

Comprender el Concepto de Informe de Auditoría. del Informe de Auditoría.
Desglosar los aspectos más relevantes de la Identificar el punto Final de la Auditoría.

Preparación del Informe de Auditoría.
Conocer el Proceso de Seguimiento de la
Conocer la Estructura del Informe de Auditoría. Auditoría.
HABILIDADES
Trabajo Individual: Ser capaz de cumplimentar un informe de No Conformidad/Desviación e identificar

las competencias precisas en un Auditor. A realizar a lo largo de esta Unidad de Competencia.
ACTITUD
Perfeccionamiento y Mejora Continua.
AUTOEVALUACIÓN
Aprobación y Distribución del Informe de Auditoría
Informe de Auditoría
Finalización de la Auditoría
Preparación del Informe de Auditoría
Seguimiento de la Auditoría
Estructura del Informe de Auditoría
Analizar la Elaboración del Informe de Auditoría de un SGSI
2
INFORME DE AUDITORÍA
Las actividades que deben llevarse a cabo después de realizar la auditoría de un SGSI incluyen, al
menos:
■ La entrega al cliente de una relación de todas las no conformidades identificadas antes de

abandonar las dependencias donde se hizo la auditoría.
■ La elaboración del informe de auditoría.
El informe de auditoría es el producto final de la auditoría y su elaboración refleja los resultados de la

fase de ejecución.
Cuando se piensa en el informe final, es primordial tener en cuenta quien es el cliente. Lo más habitual
es pensar que se trata del auditado, debido a que durante el proceso de auditoría, el equipo auditor se
encuentra en contacto continuo con éste.
No obstante, el verdadero cliente del informe de auditoría es, en todo caso, el propietario y autor de la
auditoría. Por ejemplo, en el caso de una auditoría de proveedores, el auditado no ve nunca y bajo
ninguna forma el informe de la auditoría, a no ser que el cliente de auditoría lo autorice expresamente.
Una vez que se ha establecido para quién es el informe, el contenido ha de satisfacer las necesidades
del cliente, tal y como viene establecido en el plan de auditoría.
Resultados del Informe de Auditoría
El informe de auditoría tiene por objeto plasmar de manera lógica y ordenada los resultados de la
auditoría. Estos resultados son básicamente dos:
■ Resultados parciales: Desviaciones detectadas en cada área.

■ Resultado global: Aprobación incondicional, aprobación condicional o desaprobación. Se da en
auditorías externas, bien sean de certificación, reglamentarias o de proveedor, siendo:
- Aprobación incondicional: El sistema auditado es aceptable sin condiciones.
- Aprobación condicional: El sistema será aceptado si se subsanan las desviaciones

detectadas.
- Desaprobación: El sistema no es aceptable y debe ser redefinido para volver a ser auditado.
3
PREPARACIÓN DEL INFORME DE AUDITORÍA
No existe una forma concreta de elaborar un informe de auditoría, sino que los informes de auditoría
pueden ser muy diversos, dependiendo del estilo que adopte cada empresa o, en su caso, la Entidad de
Certificación.
El responsable de esta tarea es el líder del equipo auditor, aunque cuando se realiza una auditoría
“extensa”, es inevitable la participación de otros miembros del equipo.
Información General
Cada informe debe identificarse de manera única, de forma que se pueda relacionar fácilmente con el
programa de auditoría. Para ello, es conveniente establecer la trazabilidad de partes del informe con la
auditoría como, por ejemplo, las notas de hallazgo.
Requisitos Generales
Los informes de auditoría deben cumplir ciertos requisitos entre los que se encuentran, los siguientes:
■ Escrito y firmado, lo que facilita su difusión y seguimiento.

■ Exacto en lo que concierne a hechos, datos y problemas.
■ Claro y directo, sin rodeos, en cuanto a observaciones y conclusiones.
■ Conciso, categorizando y ordenando las conclusiones en orden de importancia.
■ Oportuno, con respuestas adecuadas y útiles en tiempo y forma.
■ Objetivo respecto a los hechos observados.
■ Redactado en tono constructivo, en cuanto a opiniones, conclusiones y recomendaciones.
Contenidos
Para realizar un informe de auditoría, hay que tener en cuenta dos objetivos concretos:
■ El informe debe proporcionar evidencias objetivas de la implantación eficaz del procedimiento de

auditoría.
■ Se deben identificar las exigencias de las Acciones Correctivas/Preventivas y establecer e
iniciar las acciones de seguimiento necesarias.
4
El informe debe proporcionar un registro completo de la auditoría, preciso, conciso y claro, haciendo
referencia, como mínimo, a los siguientes contenidos:
Contenidos
■ Identificación del cliente de la auditoría.

■ Identificación del líder y miembros del equipo auditor.
■ Objetivos de la auditoría.
■ Alcance de la auditoría, particularmente la identificación de las unidades de
la organización y de los procesos auditados, período de tiempo empleado y
las categorías de productos evaluados.
■ Criterios de muestreos utilizados en la auditoría.
■ Referencia de documentos normativos usados.
■ Fechas y lugares donde se realizaron las actividades de auditoría in situ.
■ Hallazgos de auditoría:
Generales
- Resumen de observaciones más importantes, positivas y negativas, en
referencia a la implementación y eficacia del SGSI.
- No conformidades detectadas respecto a los requisitos de la Norma ISO

27001.
- Informe de cierre de cada no conformidad detectada en la anterior

auditoría.
■ Conclusiones de la auditoría.
■ Cualquier otro asunto pertinente para el SGSI.
5
■ Plan de auditoría.
■ Resumen del proceso de auditoría, incluyendo la incertidumbre y/o
cualquier obstáculo encontrado que pudiera disminuir la confianza en las
conclusiones de la auditoría.
■ Confirmación de que se han cumplido los objetivos de la auditoría, dentro
del alcance de auditoría y de acuerdo con el plan estipulado.
■ Áreas no cubiertas, aunque se encuentre fuera del alcance de la auditoría.
En caso Apropiado
■ Opiniones divergentes sin resolver entre el equipo auditor y el auditado.
■ Recomendaciones para la mejora, si se especificó en el plan de la
auditoría.
■ Buenas prácticas identificadas.
■ Planes de acción del seguimiento acordado, si los hubiera.
■ Declaración sobre la naturaleza confidencial de los contenidos.
■ Lista de distribución del informe de auditoría.
Ejemplo
A continuación se muestra lo que podría ser una buena estructura general del índice, del informe:
Índice
1. Objeto.
2. Alcance
3. Asistentes.
4. Equipo Auditor.
5. Desarrollo de la auditoría.
6. Resultados de la auditoría.
7. Conclusiones de la auditoría.
8. Distribución del informe.
9. Confidencialidad.
10. Seguimiento del proceso de

auditoría.
11. Anexos.
6
Toma de Decisiones
Previo a la realización de los informes, el auditor deberá decidir si el hallazgo encontrado se trata de, por
ejemplo, una:

de requisitos legales, especificaciones del cliente u otras, que puede afectar
No Conformidad
directamente a la seguridad del producto y que por tanto, debe ser solucionado
inmediatamente.

de requisitos legales, especificaciones del cliente u otras, que no afectan
Desviación directamente a la seguridad del producto. Son fallos aislados, no sistemáticos,
que han de ser solucionados, pero que no requieren que se haga
inmediatamente.
Hallazgo que no incumple requisito de norma, o del cual no se tiene evidencia

Observación objetiva, pero que implica un alto riesgo futuro. Sería un indicativo de “malas
prácticas”.
De todos modos, la escala de categorización que se utiliza para clasificar las deficiencias detectadas
puede variar dependiendo del auditor, o en su caso, la Entidad de Certificación.
Ante todo, a la hora de categorizar una deficiencia se deberá aplicar el sentido común, dada la posibilidad
de poder perder la cooperación del auditado si se juzga de manera incorrecta.
7
ESTRUCTURA DEL INFORME DE AUDITORÍA
En el informe de auditoría, las deficiencias se pueden presentar siguiendo dos criterios de exposición
distintos:
■ Por orden de importancia: de la más grave a la más leve.

■ Según el orden de los requisitos de la norma.
Dentro del propio informe de auditoría, se suelen incluir en forma de anexos los siguientes documentos:
■ Informe resumen.
■ Informe de no conformidad/desviación y solicitud de acciones correctivas.
Informe Resumen
Su finalidad es indicar los resultados globales de la auditoría. Normalmente contienen la siguiente
información:
■ Nº identificativo.
■ Fecha de la auditoría.
■ Ámbito de la auditoría.
■ Componentes del equipo auditor.
■ Resumen de resultados y conclusiones.

descargar un par de ejemplos de un cuadro resumen, de estilo:
■ Cerrado, según apartados de la Norma.

■ Abierto, con apartados para inclusión de resultados y conclusiones.
8
Informe de No Conformidad/Desviación y Solicitud de Acciones Correctivas
El propósito de este documento es:
■ Emitir los resultados de la auditoría de forma rigurosa para que se puedan identificar las
acciones correctivas correspondientes.
■ Transmitir los resultados para que se puedan identificar las acciones de seguimiento necesarias.
■ Presentar un informe que se pueda entender claramente cuando se revise fuera del lugar de
auditoría.
Acciones Correctivas
La acción correctiva tiene por objeto eliminar la causa raíz de una no conformidad detectada y
prevenir de este modo su reaparición.
Normalmente, una acción correctiva va precedida de una corrección, es decir, de la acción tomada para
eliminar la no conformidad detectada.
Definiciones
No Conformidad Incumplimiento de un requisito.
Corrección Acción tomada para eliminar una no conformidad detectada.
Acción tomada para eliminar la causa de una no conformidad detectada u otra

Acción Correctiva
situación indeseable.
ISO 9000. Sistemas de gestión de la calidad. Fundamentos y vocabulario
De forma habitual, junto con el informe de no conformidad/desviación, se establece un apartado para

añadir las posibles acciones correctivas que se deriven de las deficiencias encontradas.
Es el cliente junto con el auditado quien debe identificar la acción correctiva necesaria a implantar.
Sin embargo, el auditor, siempre que sea posible, colaborará en la determinación de la causa raíz del
problema.
9
Contenido y Estructura del Informe de No Conformidad/Desviación
Un informe de no conformidad/desviación, debe contener la información suficiente para que alguien que
no estuviera presente en la auditoría sea capaz de juzgar la influencia de la deficiencia.
Si los auditores advierten deficiencias que no se puedan emitir como informes de no

conformidad/desviación debido, por ejemplo, a que no pertenezcan al ámbito de la auditoría, éstas se
podrán plantear como recomendaciones, siempre y cuando el procedimiento de auditoría interna, así lo
permita.
Estructura del Informe de No Conformidad/Desviación
En ella se incluirán datos generales como:
■ Nombre de la empresa.
Cabecera ■ Departamento, área o actividad.
■ Fecha.
■ Numeración correlativa.
Área a cumplimentar por el auditor, donde se describe la desviación o no

Zona Superior
conformidad detectada, con fecha y firma del auditor.
Área donde la empresa describe la acción correctiva que ha adoptado, en el

Zona Central
plazo establecido, con fecha y firma del responsable.
Lugar donde el auditor comenta el seguimiento de la acción. Si se comprueba

que la acción ha sido eficaz, la no conformidad se considerará subsanada y se
Zona Inferior
procederá a su aprobación dejando constancia de ello mediante la fecha y la
firma del auditor.

descargar un ejemplo de formato de informe de no conformidad/desviación.
10
APROBACIÓN Y DISTRIBUCIÓN DEL INFORME DE AUDITORÍA
El informe de auditoría debe emitirse en el periodo de tiempo acordado. En caso de que no fuera posible,
se debe comunicar las razones del retraso al cliente de la auditoría, y acordar una nueva fecha de
emisión.
Dicho informe debe:
■ Estar fechado, revisado y aprobado de acuerdo con los procedimientos del programa de auditoría.
■ Ser distribuido a los receptores designados por el cliente de la auditoría. En ese sentido, el informe
de la auditoría es propiedad del cliente de la auditoría y por tanto, los miembros del equipo
auditor y todos los receptores del informe, deberán respetar y mantener la debida confidencialidad
sobre el informe.
Revisión y Aprobación
Antes de la presentación del informe de auditoría, resulta conveniente revisarlo con el fin de verificar si:
■ Proporciona una visión clara de la situación, en el momento de terminar la fase de investigación.

■ No incluye nada que no se hubiera puesto de manifiesto durante la reunión de cierre.
■ No contiene nada que no pueda ser apoyado por medio de una evidencia real y objetiva.
■ Engloba todas las consideraciones clave que la norma exige.
La supervisión del informe corresponderá al líder del equipo auditor, quien deberá firmarlo y fecharlo en
el día de su elaboración.
Distribución
Puesto que ha sido el cliente el que ha solicitado y contratado la auditoría, le corresponde a él, las
decisiones sobre la distribución del informe de auditoría.
En aquellas auditorías en las que las figuras del cliente y del auditado no coincidan, como es el caso de,
por ejemplo, las auditorías de proveedor, el auditor debe cuidarse mucho de entregar un ejemplar del
informe al auditado sin autorización expresa del cliente.
Inclusive en las auditorías internas, donde se puede considerar que el cliente es la propia Dirección, el
informe no debe ser entregado a nadie más que a la Dirección.
11
Competencias
Deberá celebrarse una reunión sobre el informe, con las partes interesadas, durante la cual se examinen
los puntos de actuación, se tome un acuerdo sobre la acción correctiva y se vuelva a redactar el informe,
si es que la acción correctiva difiere de lo sugerido en el original.
También se deberán acordar los plazos de ejecución, y nombrar a la persona responsable de la puesta
en práctica de las acciones.
El proceso global a seguir y sus competencias, queda perfectamente reflejado en el siguiente diagrama.
12
Presentación de Resultados
En ocasiones, el informe de auditoría se suele presentar en la reunión de cierre. En otras, sin embargo,
se deja un tiempo de reflexión y preparación al auditor, tras el cual se produce la entrega y exposición del
informe.
Conviene dejar claro que la exposición de los resultados no debe consistir en la mera lectura del informe,
sino en su entrega, su presentación oral y su desarrollo de manera estructurada.
Se debe comenzar por la primera deficiencia que aparece escrita en el informe, y terminar por la última.
Así pues, según se haya presentado el informe, se irá de la desviación más grave a la más leve, o bien
del primer requisito incumplido al último, siguiendo el orden de la norma.
Actitud por parte del Auditor
Cuando las deficiencias sean puestas en conocimiento, el auditor puede verse involuntariamente
sometido a rechazos y actitudes hostiles por parte de los representantes de la empresa:
■ En ningún caso, el auditor deberá entrar en discusión sobre lo que constituye o deja de constituir
una deficiencia, sino al contrario, debe mostrarse sereno y limitarse a exponer los hallazgos,
categorizar las desviaciones y aclarar las posibles dudas que surjan.
■ Es conveniente no alargar la reunión con discusiones y darla por finalizada una vez que los
hallazgos hayan sido expuestos y se consiga la aceptación de los resultados por parte del auditado.
■ En caso de que la Dirección no estuviera de acuerdo con las deficiencias expuestas y se negara a
firmar el informe, los auditores bajo ningún concepto deberán entrar en una especie de trato que
supedite la firma a la eliminación de una deficiencia. Lo más recomendable es mantener el resultado
de la auditoría e informar que el procedimiento de reclamaciones escritas está al alcance del
auditado.
13
Comprobaciones
Los auditores no deberán dar por concluida la reunión sin comprobar:
■ Que el informe final ha sido debidamente firmado por la Dirección.

■ Que el formato de acciones correctivas ha sido entregado.
■ Que no ha quedado ningún aspecto importante pendiente de explicación.

puedes visualizar un vídeo ilustrativo del tema, en el que se describen las
actitudes que el auditor debe tener, en caso de que se vea sometido a
rechazo por parte del auditado.
14
FINALIZACIÓN DE LA AUDITORÍA
La auditoría finaliza cuando todas las actividades descritas en el plan de auditoría se hayan realizado y el
informe de la auditoría aprobado, se haya distribuido.
En relación con la conservación de los documentos pertenecientes a la auditoría, deberá actuarse

conforme establezcan las partes participantes y de acuerdo con los procedimientos estipulados en el
programa de auditoría y los requisitos legales, reglamentarios y contractuales aplicables.
Salvo que sea requerido por ley, el equipo auditor y el responsable de la gestión del programa de
auditoría, no deben revelar, sin la aprobación explícita del cliente de la auditoría, y cuando sea
apropiado, la del auditado:
■ El contenido de los documentos.

■ Cualquier otra información obtenida durante la auditoría.
■ El informe de auditoría.
En el caso de que se requiera revelar el contenido de algún documento relacionado con la auditoría,
tanto el cliente como el auditado deben ser informados de este hecho en la mayor brevedad.
15
SEGUIMIENTO DE LA AUDITORÍA
Las conclusiones de la auditoría, pueden indicar la necesidad de realizar acciones correctivas,
preventivas o de mejora, según sea aplicable. Generalmente, estas acciones son decididas y
emprendidas por el auditado en un intervalo de tiempo acordado por todas las partes interesadas, y no se
consideran como parte de la auditoría.
La implementación efectiva de estas acciones correctivas debe ser verificada. Esta verificación puede
formar parte de una auditoría posterior.
El seguimiento de la acción correctiva es necesario para asegurarse de que:
■ Las deficiencias encontradas se han solucionado, es decir, se ha aplicado la corrección.

■ Se ha eliminado la no conformidad, es decir:
− La causa generadora del problema se ha identificado.
− Se ha implantado la acción correctiva adecuada y resulta eficaz para evitar la reaparición del
problema.
Hoja De Seguimiento De Acciones Correctivas
DATOS DE LAS NO
DATOS DE LA AUDITORÍA FECHA DE SEGUIMIENTO
CONFORMIDADES
Nº ÁREA FECHA Nº FECHA DE FINALIZACIÓN DE SEGUIMIENTO CIERRE

LA ACCIÓN
Responsable
Firma
16
Proceso
El auditado debe presentar evidencias de que las deficiencias han sido corregidas en el plazo estipulado
y según consta en el informe final. Estas evidencias deberán ir acompañadas del formato de solicitud de
acción correctiva/preventiva que en su día se acordó.
Modos de Establecer la Evidencia
Consistirán en documentos que certifiquen que la acción requerida ha sido

implantada.
Ejemplo:
Documentales
Imaginemos que el auditor ha levantado una no conformidad debido a que ha
detectado que la empresa no dispone de un procedimiento documentado para el
control de los registros del sistema, en contra de lo establecido en la norma. En
este caso, la evidencia documental consistirá en aportar el procedimiento de
control de los registros, redactado y aprobado por las personas autorizadas.
Consistirán en pruebas físicas, del tipo muestras, ejemplares o fotografías que

puedan demostrar que se han llevado a cabo las acciones requeridas.
Ejemplo:
Físicas
Imaginemos una no conformidad por falta de etiquetado de determinados
productos. En este caso se podrá aportar como evidencia una muestra,
debidamente etiquetada, o tratándose de elementos de dimensiones mayores,
se podrá aportar una fotografía o simplemente la etiqueta o incluso solicitar al
auditor su verificación in situ.
17
Responsabilidades del Auditor
El auditor, una vez recibidas las evidencias, así como los formatos de solicitud, debidamente
cumplimentados, deberá:
■ Verificar que la recepción está dentro del plazo establecido en el informe final.
■ Comprobar que cada no conformidad tiene asignados, una evidencia y el formato de solicitud de
acción correctiva acordado.
■ Evaluar la eficacia de la acción implantada.
■ En caso de duda, verificar in situ la realización de la acción, concertando una auditoría
extraordinaria.
Auditoría de Seguimiento
Las auditorías de seguimiento son auditorías realizadas in situ, pero no necesariamente realizadas a todo
el sistema.
Estas auditorías pueden involucrar o no a los auditores iniciales, en función de lo establecido por las
partes interesadas, y de acuerdo con los procedimientos estipulados en el programa de auditoría, así
como los requisitos legales, reglamentarios y contractuales aplicables.
Objetivos de las Auditorías de Seguimiento
■ Comprobar el mantenimiento del Sistema de Gestión de la Calidad de la empresa.

■ Verificar la implantación y eficacia de acciones correctoras a las posibles deficiencias detectadas en
auditorías previas.
■ Examinar cualquier cambio en la organización interna y procedimientos del SGSI de la empresa.
En el caso de auditorías de certificación, una vez obtenida la certificación y de manera periódica

(como mínimo una vez al año, según establezca cada Organismo Certificador) se establecerán
auditorías de seguimiento continuadas, hasta la realización de la auditoría de recertificación.
Esta tarea debe llevarse a cabo de manera controlada y sistemática, siendo de gran utilidad el uso de
hojas de seguimiento de la acción.
18
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
Módulo y temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
DEBATE
19
ACTITUD
PERFECCIONAMIENTO Y MEJORA CONTINUA
Buscar la superación en el desempeño profesional basada en la mejora en el día a día con el fin de
alcanzar mejores resultados.
Conseguir el perfeccionamiento en el desarrollo de un trabajo, buscando siempre la mejora continua, son

actitudes esenciales para la organización y deben ser la base para la mejora del desempeño.
En relación al cliente, es conveniente conocer su opinión sobre la calidad y fiabilidad de los productos
ofrecidos, el cumplimiento de las expectativas en cuanto a la duración y a las prestaciones o el
cumplimiento de los plazos de entrega o los precios.
En una organización, es necesaria una recopilación adecuada de la información con el fin de que el
análisis de datos pueda identificar los puntos de actuación mejorables y permitir la toma de decisiones
adecuadas.
Todo proceso de mejora debe ser permanente y continuo, tanto para el propio trabajador como para la
organización en que desempeña sus funciones.
Por ello, es imprescindible crear oportunidades de mejora para cada persona en base a su potencial, a la
correcta asignación de las funciones que realiza y a un seguimiento de su desempeño.
Para que los equipos de trabajo mejoren y alcancen una sincronización y perfección adecuada, es
necesario un seguimiento del equipo de manera regular, con la aportación de instrucciones concretas y
detalladas y por supuesto ofreciendo en todo momento apoyo e interés en ayudar a las personas por
parte de sus superiores.
20
NOTAS
21
902 350 077
formacion@bvbs.es
Analizar la Elaboración del Informe de

Auditoria de un SGSI
 Bureau Veritas Formación, S.A. Unipersonal.
ll
Identificar el Perfil que debe reunir un Auditor

del SGSI

IDENTIFICAR EL PERFIL QUE DEBE REUNIR UN AUDITOR DE SGSI
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de identificar las
características que un auditor de un sistema de gestión de seguridad de la información debe poseer, en
cuanto a conocimientos, habilidades y atributos personales, para poder llevar a cabo de forma correcta el
plan de auditoría establecido.
CONOCIMIENTOS
Determinar las Competencias que Deben Reunir Mantener y Mejorar la Competencia.

los Auditores.
Conocer los Atributos Personales que Tendrían Conocer el Proceso de Evaluación del Auditor.
que tener los Auditores.
Comprender las Responsabilidades de cada uno
Conocer los Conocimientos y Habilidades de los
de los Miembros del Equipo Auditor.
Auditores.
HABILIDADES
conocimientos profesionales
Trabajo Individual: Ser capaz de cumplimentar un informe de No Conformidad/Desviación e identificar

las competencias precisas en un Auditor. A realizar a lo largo de esta Unidad de Competencia.
ACTITUD
Ser Asertivo.
AUTOEVALUACIÓN
Mantenimiento y Mejora de la Competencia
Competencias de los Auditores.
Evaluación del Auditor.
Atributos Personales
Responsabilidades
Conocimientos y Habilidades
Identificar el Perfil que debe reunir un Auditor de SGSI
2
COMPETENCIA DE LOS AUDITORES
La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la competencia de
aquellos que la llevan a cabo.
Esta competencia se basa en la demostración de:
■ La aptitud para aplicar los conocimientos y habilidades adquiridos mediante la educación, la

experiencia laboral, la formación como auditor y la experiencia en auditorías.
■ Las cualidades personales.
El auditor debe desarrollar, mantener y mejorar su competencia a través del continuo desarrollo
profesional y de la participación regular en auditorías.

puedes visualizar un vídeo ilustrativo del tema, en el que se refleja la
importancia que tiene la conducta y ética profesional del auditor.
3
Formación y Experiencia de los Auditores
Los auditores deberán tener la cualificación necesaria para llevar a cabo las auditorías de manera eficaz.
Por ello, los candidatos a auditores deben estar en situación de demostrar su formación y experiencia en
diferentes áreas de conocimiento.
NIVELES
Cada organización debe establecer los niveles de competencia que un auditor necesita para lograr los
conocimientos y habilidades adecuados para el programa de auditoría.
Estos niveles podrán variar en función del programa y tipo de auditoría.
4
Competencias
Los auditores deberán tener:
■ Nivel educativo suficiente para adquirir los conocimientos y habilidades

descritos.
■ Experiencia laboral que contribuya al desarrollo de los conocimientos y
habilidades descritos.
■ Formación en materia de gestión de la calidad que permitan al auditor
llevar a cabo el desarrollo correcto de la auditoría de un SGSI.
Auditor
■ Formación procesos, productos y servicios que permita comprender el
contexto tecnológico en el que se está llevando a cabo la auditoría.
■ Formación como auditor que contribuya al desarrollo de los conocimientos
y habilidades descritos. Esta formación podrá ser proporcionada por la
propia organización a la que pertenece la persona o por una organización
externa.
■ Experiencia en auditorías, obtenida bajo la dirección y orientación de un
auditor con competencia como líder del equipo auditor.
Deberán tener experiencia adicional en la auditoría para desarrollar los

conocimientos y habilidades descritos, actuando como líder del equipo auditor
Líder del Equipo Auditor
bajo la dirección y orientación de otro auditor competente como líder del equipo
auditor.
5
ATRIBUTOS PERSONALES
Los auditores deben poseer atributos personales que les permitan actuar de acuerdo con los principios
de la auditoría. Resulta necesario que el auditor sea una persona libre de prejuicios e imparcial.
6
ARTÍCULO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Accediendo al Curso a través de la Plataforma, en esta Unidad de Competencia puedes encontrar un

artículo de interés elaborado Chris Baker, gerente técnico del “Institute of Internal Auditors” de Inglaterra
e Irlanda, en el que se explica por qué es esencial que los auditores sean capaces de comunicarse de
forma eficaz.
Cómo desarrollar mejores habilidades de comunicación
7
CONOCIMIENTOS Y HABILIDADES
Un auditor de Sistemas de Gestión de Gestión de Seguridad de la Información debe estar formado en
diversas disciplinas, siendo esencial que disponga de conocimientos y habilidades que le permitan
examinar el sistema de gestión y generar los hallazgos y conclusiones de auditoría apropiados.
De los Auditores
Los auditores deberán tener conocimientos y habilidades en las siguientes áreas:
■ Principios, procedimientos y técnicas de auditoría.

■ Documentos del Sistema de Gestión.
■ Situaciones de la Organización.
■ Requisitos aplicables.
■ Métodos y técnicas relativos a la calidad.
■ Procesos, productos y servicios.
■ Gestión de Riesgos y Oportunidades.
■ Contexto de las Organizaciones.
■ Productos / Servicios incluidos en el alcance.
Principios, Procedimientos y Técnicas de Auditoría
Permitir al auditor:
■ Aplicar aquellos principios y procedimientos que sean apropiados a las
Finalidad diferentes auditorías.
■ Asegurarse de que las auditorías se llevan a cabo de manera coherente y
sistemática.
■ Aplicar principios, procedimientos y técnicas de auditoría.

■ Planificar y organizar el trabajo eficazmente.
■ Llevar a cabo la auditoría dentro del calendario acordado.
■ Establecer prioridades y centrarse en los asuntos de importancia.
■ Recopilar información a través de entrevistas eficaces, escuchando,
observando y revisando documentos, registros y datos.
Conocimientos y ■ Comprender y tener en consideración la opinión de los expertos.
Habilidades
■ Entender lo apropiado del uso de técnicas de muestreo y sus consecuencias
para la auditoría.
■ Verificar la exactitud de la información recopilada.
■ Confirmar que la evidencia de la auditoría es suficiente y apropiada para
apoyar los hallazgos y conclusiones de la auditoría.
■ Evaluar aquellos factores que puedan afectar a la fiabilidad de los hallazgos
y conclusiones de la auditoría.
8
■ Utilizar los documentos de trabajo para registrar las actividades de la
auditoría.
■ Documentar los hallazgos de la auditoría y preparar los informes de las
mismas.
■ Mantener la confidencialidad y la seguridad de la información.
■ Comunicarse eficazmente, ya sea con las habilidades lingüísticas personales
o con el apoyo de un intérprete.
■ Entender los riesgos que pueden ir asociados a la auditoría.
Documentos del Sistema de Gestión
Permitir al auditor:
Finalidad
■ Comprender el alcance de la auditoría.
■ Aplicar los criterios de la auditoría.
■ Aplicar sistemas de gestión a diferentes organizaciones.

■ Interaccionar entre los componentes del sistema de gestión.
■ Normas de Sistemas de Gestión de la Calidad, procedimientos aplicables u
otros documentos del sistema de gestión utilizados como criterios de
auditoría.
Conocimientos y
■ Reconocer las diferencias y el orden de prioridad entre los documentos de
Habilidades
referencia.
■ Aplicar los documentos de referencia a las diferentes situaciones de
auditoría.
■ Sistemas de información y tecnología para la autorización, seguridad,
distribución y control de documentos, datos y registros.
Situaciones de la Organización
Finalidad Permitir al auditor entender el contexto de las operaciones de la organización.
■ El tamaño, estructura, funciones y relaciones de la organización.

Conocimientos y
■ Los procesos generales de negocio y la terminología relacionada.
Habilidades
■ Las costumbres sociales y culturales del auditado.
9
Otros Requisitos Aplicables
Permitir al auditor trabajar con ellos y ser consciente de los requisitos aplicables
Finalidad
a la organización que se está auditando.
■ Los códigos, leyes y reglamentos locales, regionales y nacionales.

Conocimientos y ■ Terminología legal básica.
Habilidades ■ Los contratos y acuerdos, y responsabilidad legal.
■ Otros requisitos a los que se suscriba la organización.
De los Líderes de los Equipos Auditores

Los líderes de los equipos auditores deberán tener, además, conocimientos y habilidades adicionales en
relación al liderazgo de la auditoría, para facilitar la realización de ésta de manera eficiente y eficaz.
Conocimientos y Habilidades
■ Equilibrar a los puntos fuertes y débiles de los miembros que forman parte del equipo auditor.
■ Conseguir una relación de trabajo en armonía entre los miembros del equipo auditor.
■ Gestionar el proceso de auditoría, para ello debe:
- Planificar la auditoría haciendo un uso eficaz de los recursos durante esta.
- Gestionar el logro de los objetivos de la auditoría.
- Proteger la salud y seguridad de los miembros del equipo auditor durante el transcurso de la
auditoría, asegurando que los auditores cumplen con los requisitos pertinentes de salud,
protección y seguridad.
- Organizar y dirigir a los miembros del equipo auditor.
- Proporcionar dirección y orientación a los auditores en formación.
- Prevenir y resolver conflictos.
■ Representar al equipo en las comunicaciones con el cliente de la auditoría y el auditado.

■ Conducir al equipo auditor para llegar a las conclusiones de la auditoría.
■ Preparar y completar el informe de la auditoría.
10
MANTENIMIENTO Y MEJORA DE LA COMPETENCIA
Es necesario que tanto los auditores como los líderes de equipos auditores demuestren el mantenimiento
de las condiciones y aptitudes que en su día les llevaron a su cualificación. Para ello deberán asegurar
que sigue conociendo los requisitos y normas relativas a los sistemas de gestión, que sigue dominando
los métodos y técnicas de auditoría y que ha ido reciclando sus conocimientos.
Algunos de estos medios a aplicar pueden ser:
Del mismo modo, los auditores deberían mantener y demostrar su aptitud para auditar a través de la
participación regular en auditorías de Sistemas de Gestión de Seguridad de la Información.
11
EVALUACIÓN DEL AUDITOR
La evaluación de los auditores, deberá estar planificada, implementada y registrada de acuerdo con
los procedimientos del programa de auditoría. El proceso de evaluación, deberá identificar las
necesidades de formación y de mejora de otras habilidades.
Etapas
■ Evaluación inicial de las personas que desean ser auditores.

■ Evaluación de los auditores como parte de los procesos de selección del equipo auditor.
■ Evaluación continua del desempeño de los auditores para identificar las necesidades de
mantenimiento y mejora de sus conocimientos y habilidades.
Proceso de Evaluación
Pasos
El primer paso consiste en identificar las cualidades, conocimientos y

habilidades necesarias para satisfacer los requisitos del programa de auditoría.
Se deberá considerar:
1
■ Tamaño, naturaleza y complejidad de la organización que va a auditarse.
Identificar Cualidades, ■ Objetivos y campo de aplicación del programa de auditorías.
Conocimientos y
Habilidades ■ Requisitos de certificación/registro y acreditación.
■ Función del proceso de auditoría en la gestión de la organización que va a
auditarse.
■ Nivel de confianza requerido en el programa de auditoría.
■ Complejidad del sistema de gestión que va a auditarse.
12
En un segundo paso, se deben establecer los criterios de actuación que se va a
aplicar en cada caso. Estos pueden ser:
2
■ Cuantitativos: Años de experiencia laboral y de educación, número de
Establecer Criterios de auditorías realizadas, horas de formación en auditoría, etc.
Evaluación ■ Cualitativos: Atributos personales, conocimientos, desempeño de
habilidades demostrados tanto en la formación como en el lugar de trabajo,
etc.
La evaluación debería llevarse a cabo, utilizando uno o varios métodos de los

siguientes.
Método de
Objetivos Ejemplos
Evaluación
Análisis de registros de
Revisión de los Verificar antecedentes del educación, formación,
registros auditor laborales y experiencia en
auditorías
Encuestas, referencias,
Proporcionar información
Retro- personales, quejas,
sobre como se percibe el
alimentación recomendaciones,
desempeño del auditor
evaluación del desempeño
3
Evaluar habilidades,
Entrevistas personales y
Seleccionar el Método Entrevista conocimientos y atributos
de Evaluación telefónicas
personales
Adecuado
Evaluar atributos personales y
Actuación, testificación de
aptitudes para aplicar los
Observación auditorías, desempeño en
conocimientos y las
el trabajo
habilidades
Evaluar cualidades Exámenes orales y

Examen personales, conocimientos, escritos, exámenes
habilidades y su aplicación. psicotécnicos.
Revisión del informe de

auditoría, entrevistas con
Proporcionar información
Revisión el líder del equipo auditor
sobre el desempeño del
después de la y el equipo auditor, y
auditor durante las actividades
auditoría posibilidad de
de auditoría.
retroalimentación del
auditado
13
Estos métodos:
■ Representan una variedad de opciones que pueden no ser aplicables en

todas las situaciones.
■ Pueden diferir en su fiabilidad.
■ Deberían utilizarse combinadamente para asegurar un resultado objetivo,
coherente, imparcial y fiable.
En función de los criterios de evaluación establecidos, se valorará la validez del

auditor.
4
En caso de que la persona no cumpla los criterios, se requerirá formación,

Realizar la Evaluación
experiencia laboral y/o experiencia en auditorías adicionales, después de lo cual,
debería realizarse una nueva evaluación.
Registros
La organización debe llevar un registro de la experiencia, conocimientos y habilidades descritas así como
de la cualificación de sus auditores.
A continuación se presenta un ejemplo de registro de las aptitudes generales del candidato del auditor:
CUALIFICACIONES DEL
HHH-RG-XY
AUDITOR
Nombre:
Empresa:
REQUISITOS DE CUALIFICACIÓN PUNTUACIÓN
EDUCACIÓN:
Universidad:
Grado: Diplomado Licenciado

EXPERIENCIA LABORAL: (Empresa/ámbito/fecha)
FORMACIÓN COMO AUDITOR: (Cursos, seminarios o similar)
14
EXPERIENCIA EN AUDITORÍAS: (Lugar/tema/fecha)
CAPACIDAD DE COMUNICACIÓN:
Evaluado por: (Nombre y cargo)
OTROS FACTORES:
EXAMEN: (Puntuación)
Evaluado por: (Nombre y cargo) Fecha: Créditos Totales
CUALIFICACIÓN
APTO Cualificación del auditor certificada por: (Nombre y cargo)
NO APTO
EVALUACIÓN
Firma
Fecha
15
RESPONSABILIDADES
Tanto el auditor, como el líder del equipo de auditoría, tienen asignadas una serie de responsabilidades
que se deben tener en cuenta.
LECTURA RECOMENDADA
Se recomienda la lectura del Capítulo 7 – Competencia y evaluación

de los auditores, de la norma ISO 19011 “Directrices para la auditoría
de los sistemas de gestión”.
Líder del Equipo Auditor

Además de la suficiente experiencia, es imprescindible que disponga de la capacidad necesaria de
gestión y sepa manifestar la autoridad oportuna para tomar decisiones sobre cualquier cuestión
relacionada con la auditoría.
Sus responsabilidades principales comprenden:
■ Definir los requisitos y los planes de formación de los auditores internos.

■ Participar en la selección y adiestramiento de los auditores.
■ Preparar los planes de auditoría.
■ Representar al equipo auditor ante el organismo auditado.
■ Preparar y/o supervisar los documentos e impresos de trabajo.
■ Seleccionar al equipo auditor y asignar las responsabilidades.
■ Revisar la documentación aplicable.
■ Coordinar las auditorías con los responsables de los entes auditados.
■ Notificar la auditoría al organismo auditado.
■ Clarificar los objetivos de las auditorías.
■ Intervenir en las eventuales discrepancias que se presente en las auditorías.
■ Presentar el informe de auditorías.
■ Asistir en el mantenimiento de la competencia de los auditores.
Auditores
Es competencia de los auditores:
■ Actuar de acuerdo con los requisitos aplicables a cada auditoría.

■ Realizar las misiones asignadas por el líder del equipo.
■ Cooperar con el auditor jefe en la preparación de la auditoría.
■ Recoger evidencias suficientes para determinar las recomendaciones.
16
■ Verificar la eficacia de las acciones correctivas.
■ Actividades de clasificación, archivo y custodia de la documentación correspondiente a la
planificación y los resultados de las auditorías.
Guías y Observadores
Los guías y observadores pueden acompañar al equipo auditor, pero no forman parte del mismo, por lo
que no deben influir en la realización de la auditoría.
El guía es la persona designada por el auditado para asistir al equipo auditor.
El observador es la persona que acompaña al equipo auditor pero que no audita.
ISO 19011 “Directrices para la Auditoría de Sistemas de Gestión”
Ambos actuarán cuando así lo solicite el líder del equipo auditor.
Los guías deben asistir al equipo auditor, actuando cuando lo solicite el líder del equipo. Entre sus
responsabilidades se encuentran:
■ Establecer contactos, horarios y acordar visitas y accesos a ubicaciones específicas del

auditado.
■ Asegurar que el equipo auditor y los observadores conocen y respetan los procedimientos
relacionados con la protección y reglas de seguridad de las ubicaciones.
■ Ser testigos en nombre del auditado.
■ Proporcionar aclaraciones o ayudar en el caso de recopilar información.
17
HABILIDADES
TRABAJO INDIVIDUAL
CASO PRÁCTICO
DEBATE
18
ACTITUD
SER ASERTIVO
Expresar nuestras opiniones y puntos de vista respetando el de los demás.
Cuando una persona desarrolla su trabajo en cualquier organización empresarial, una de las principales
características que se suelen valorar por las personas encargadas de gestionar el potencial humano de la
misma, es que sea una persona asertiva.
No hay nadie perfecto, y una persona asertiva es aquella que se acepta a si misma y sabe aceptar las
opiniones de los demás.
Se trata a los demás del mismo modo a como espera que le traten a uno mismo.
Una situación muy habitual, se produce cuando una persona tiene una queja de un servicio o producto,
es un derecho de toda persona el expresar su queja por no cumplirse las expectativas esperadas, pero
también se espera que de esa queja se produzca una reacción o modificación posterior.
La premisa inicial es partir del respeto hacia los demás, haciendo lo que considera más adecuado en la
defensa de sus propios derechos sin agredir ni ofender a nadie.
La clave de la asertividad es pensar que puedo cambiar mi modo de pensar, ya que “rectificar es de
sabios”.
Ser asertivo no significa querer llevar siempre la razón, sino expresar nuestras opiniones y puntos de
vista, sean estos correctos o no. Todos tenemos derecho a equivocarnos.
La asertividad permitirá enfrentarnos a las diversas situaciones que se presentan en los trabajos, al
representar la libertad para expresarnos respetando a los demás y asumiendo la responsabilidad de
nuestros actos.
Muchas veces, no se manejan adecuadamente determinadas situaciones empresariales, cuando por

ejemplo una simple frase como “lo siento, pero no estoy de acuerdo” pueda ayudarnos a reconducir
determinadas situaciones.
Se debe tener la capacidad para decir sin miedo lo que se siente, analizando la situación y ofreciendo la
mejor solución posible
19
902 350 077
formacion@bvbs.es
Identificar el Perfil que debe Reunir

un Auditor de SGSI

Auditoria Parte II

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Parte II

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Un sistema de información es un conjunto de procedimientos

El objetivo fundamental de estos sistemas es proporcionar la

Características destacadas: Elementos:

2. Informatización de los sistemas

Características del sistema:

2. Informatización de los sistemas

Características del sistema: Confidencialidad, seguridad

Privacidad de los empleados

2. Informatización de los sistemas

Características del sistema: Flexibilidad, rapidez y fiabilidad

Sistema adaptable en el Adecuada y amplia

Rapidez o agilidad a las consultas de información

2. Informatización de los sistemas

Problemas de los SI:

• Altas expectativas de los usuarios.

El éxito en la informatización de los sistemas de información de la

2. Informatización de los sistemas

Asociación Latinoamericana de Profesionales en Seguridad Informática ALAPSI A.C

3. Sistema de Gestión de la Seguridad de la

Un SGSI es un conjunto de procesos que permiten establecer,

3. Sistema de Gestión de la Seguridad de la

La implementación de un SGSI supone el establecimiento de

3. Sistema de Gestión de la Seguridad de la

El SGSI está diseñado para proporcionar los controles de seguridad

3. Sistema de Gestión de la Seguridad de la

Es básico entender los requerimientos de seguridad de la

3. Sistema de Gestión de la Seguridad de la

Se deberán implementar y operar controles para manejar los

3. Sistema de Gestión de la Seguridad de la

La Norma ISO 27001

3. Sistema de Gestión de la Seguridad de la

3. Sistema de Gestión de la Seguridad de la

3. Sistema de Gestión de la Seguridad de la

3.1. Requerimientos generales de un SGSI

Una organización debe establecer, implementar, monitorear,

3.1. Requerimientos generales de un SGSI

3.2. Implementar y operar el SGSI

La organización debe formular un plan de tratamiento de riesgo

3.2. Implementar y operar el SGSI

Niveles de la información documentada

3.3. Monitorear y revisar el SGSI

La organización debe ejecutar procedimientos de monitoreo y revisión, y

3.3. Monitorear y revisar el SGSI

Es fundamental, realizar revisiones regulares de la efectividad del

3.3. Monitorear y revisar el SGSI

Es fundamental, realizar revisiones regulares de la efectividad del

3.4. Mantenimiento y mejora del SGSI

La organización deberá implementar las mejoras identificadas en

4. Objetivos de la política de seguridad de la

El objetivo de la política de seguridad de la información es

4. Objetivos de la política de seguridad de la

4.1. Organización de la seguridad de la

4.1. Organización de la seguridad de la

Gómez Fernández, L. Y Fernández Rivero, P.P. (2015). Cómo implantar un

Analizar y Revisar la Norma ISO 27001

Avanzamos a través del conocimiento

En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:

Entender la Utilidad de ISO 27001.

TEST DE EVALUACIÓN DE CONOCIMIENTOS

Analizar y Revisar la Norma ISO 27001