Integración de Sistemas de Gestión ISO

Ing. Rodrigo Flores Recalde.
MPDE
Ministerio de Trabajo -Operador Capacitación MDT-SCP-2022-0018
099 866-3385 / gerencia@rodrigoflores-consultores.com
www.rodrigoflores-consultores.net
GESTIÓN DE SISTEMAS
INTREGRADOS
Un Sistema de Gestión (SG) es una serie

de procesos, acciones y tareas que se llevan a
cabo sobre un conjunto de elementos (personas,
procedimientos, estrategias, planes, recursos,
productos, etc.) para lograr el éxito sostenido
de una organización.
Es importante mencionar que, en la actualización

de varias normas ISO: 27001, 2230, 9000, entre
otras, se estableció una “estructura genérica”
desde la cláusula 4 hasta la 10, teniendo como base: 4. Contexto; 5. Liderazgo; 6. Planificación; 7. Soporte; 8.
Operación; 9. Evaluación; 10. Mejora.
El presente documento tiene como finalidad, dar una orientación metodológica para integrar sistemas de gestión
propuestos por estándares ISO, teniendo como principales áreas de conocimiento (AC) para su integración: Seguridad
de Información, Riesgos, Continuidad de Negocio.
Ing. Rodrigo Flores Recalde. MPDE

Cláusula 4.1 Contexto
4.1 Comprensión de la Organización y su
contexto
Al gestionar un sistema de gestión, el

comprender el “contexto” implica tener
presente:
1.Naturaleza de la organización, esto

quiere decir su misión (propósito), su giro de
negocio (actividad productiva o económica en
la entrega de productos o servicios).
2. Contexto Externo: asuntos o factores

fuera de organización que pueden incidir,
afectar, aportar en la implantación o adopción
del estándar y consecuente del sistema de gestión (SG) según área de conocimiento (AC). Puede utilizarse metodología
PEST para determinar aquellas oportunidades y amenazas.
3. Contexto Interno: asuntos o factores internos de la organización que pueden considerarse Fortalezas y Debilidades
en la implantación o adopción sistema de gestión (SG). Puede utilizarse metodología FODA
Esta cláusula invita a lograr un conocimiento de la organización, para tener una “idea” respecto a la factibilidad a priori
de la gestión y de la implantación del SG. La documentación resultante de este apartado retroalimentará la cláusula
4.3, en algunos estándares no es requisito obligatorio.

Cláusula 4.2 Partes Interesadas
Partes Interesadas: “Persona u organización que puede afectar, ser
afectada o percibir que está afectada por una decisión o actividad. Una persona
que toma decisiones puede ser una parte interesada”. ISO 31000
La identificación de expectativas, requisitos de las partes

interesadas deben sustentarse en una directriz o lineamiento,
documentarse a través de un PROCEDIMIENTO que permite:
Identificar si las partes interesadas son internas o externas
Internas: Propietarios o Accionistas, Gerencia,

Empleados (mandos medios, operativos)
Externas: Clientes, Proveedores, Entes de Control, Organismos Públicos.
 Categorizar las Partes Interesadas en función del grado de Poder, Legitimación y Urgencia; influencia e impacto.
 Identificar las necesidades, expectativas y los REQUISITOS de partes interesadas que se deben cumplir al
implementar el sistema de gestión según norma ISO adoptada en la organización.
La identificación de Partes Interesadas puede aplicarse para cumplimiento de algunos estándares como ISO: 20000 (Gestión Servicios
Tecnológicos); 37001 (Anti soborno); ISO 31022 (Riesgo Legal), 9001, 27001 (Seguridad Información) , 22301 (Continuidad de Negocio)
entre otras; siempre que verifiquemos que la norma tenga como año mínimo de actualización 2013 en adelante.

Cláusula 4.3 Alcance del Sistema de Gestión
Para Determinar el Alcance del Sistema de Gestión (SG), es

importante determinar las siguientes consideraciones:
1. Cuestiones internas y externas a tu sistema de gestión

(cláusula 4.1).
Determinar Fortalezas, Debilidades, Oportunidades,
Amenazas (FODA) que puede influir en la implementación
del SG.
 F: en qué es buena la organización al gestionarse.
 D: en qué aspectos se puede o se debe mejorar
al gestionarse
 O: de que tendencias en el mercado (ambiente
externo) se puede beneficiar tu SG.
 D: que aspecto podría afectar al SG.
2. Identificar las necesidades, expectativas y los REQUISITOS de partes interesadas que se deben cumplir al
implementar el sistema de gestión según norma ISO adoptada en la organización (4.2)
 Partes interesadas son internas o externas: Persona u organización que puede afectar, ser afectada o
percibir que está afectada por una decisión o actividad.

3.Determinar el Alcance del Sistema de Gestión
(SG) = 4.1 + 4.2, teniendo presente límites:
Límite Organizacional
a. Productos y servicios (P/S) de la
organización: es decir enfocarse en el core del
negocio. Aquellos P/S relevantes, aplicando
matriz BCG.
b. Procesos de Negocio (Cadena de Valor o

Misional) que sustenta la entrega de P/S
relevantes.
Límite Geográfico
 Se declara donde se ejecuta las operaciones
para la entrega de P/S + Proceso Misional, es
decir la localización o ubicación de sedes, instalaciones y su dirección.
Límite Tecnológico
 Existirá en algunas estándares o normas ISO, que solicite la identificación de los recursos tecnológicos
esenciales que permite la ejecución de los procesos y la entrega de P/S seleccionados en los límites antes
descritos.
La declaración del alcance del SG, debe estar documentado y formalizado (firmas de aprobación), describiendo
CLARAMENTE los límites y las exclusiones (las demás P/S, Procesos u Tecnologías que no fueron considerados).

Cláusula 5.1 Liderazgo y Compromiso
“La alta dirección debe demostrar liderazgo y

compromiso con respecto XXX” (ámbito de gestión del
estándar adoptado).
Para generar compromiso, debemos concienciar sobre

la importancia de implementar el estándar ISO, a
través de:
1. Comunicar los requisitos obligatorios o de

“presión de mercado” de las partes interesadas que
tengan más influencia e impacto a nuestra
organización.
2. Identificar si la implementación del sistema de

gestión proporciona una ventaja competitiva o
comparativa; y otros beneficios para la organización
a. Competitiva: nos permite diferenciarnos de la competencia, y es difícil de igualar.

b. Comparativa: nos permite “igualar” condiciones, es decir que el mercado y sus actores determinan un factor
intrínseco para poder competir.
3. Comunicar las necesidades de gestión o mejoramiento que son resultado del análisis interno de la organización
(4.1).

4. El compromiso de la alta gerencia, se evidencia tanto en su participación activa en el desarrollo de la política del
sistema de gestión, como en la aprobación de recursos (monetario, RRHH, tiempo) para la implementación. Se
recomienda proponer el proyecto de implementación a través de la presentación de caso de negocio.
5.2 La alta dirección debe establecer una política

del Sistema de Gestión XXXX .
La política:
 Una declaración de principios generales que la empresa
u organización se compromete a cumplir, es decir define
Reglas y Directrices acerca del comportamiento.
 Proporcionan la fuente de instrucciones que detalla

cómo los trabajadores pueden gestionar sus
actividades laborales alineados al estándar que se
desea implementar en la organización (calidad,
seguridad información, riesgos, etc) y que toma en
consideración los RESULTADOS del Análisis de RIESGOS.

La Política
• debe ser escrito y formalizado; ser comunicada en leguaje claro y usando ejemplos concretos
• Su divulgación cumple un rol orientador y motivador para los colaboradores, empleados y colaboradores de
todos los niveles se identifique con ellos.
En algunos estándares se tendrá 2 tipos de política

1. Política de Gestión (lo descrito anteriormente)
2. Política del Sistema de Gestión: este mencionará como funcionar el sistema de gestión, y que este alineado a
políticas institucionales, valores corporativos, tome en consideración expectativas y requisitos de partes
interesadas (internas y externas).

5.3 Funciones, Responsabilidades y Autoridad de la
Organización
La alta dirección debe asegurarse de que las

responsabilidades y autoridades para las funciones
relacionadas con XXXXXX (Sistema de Gestión) son
asignadas y comunicadas.
Este apartado hace énfasis en la ESTRUCTURA

ORGANIZACIONAL para que pueda gestionarse
adecuadamente el sistema de gestión (SG), donde se tiene
como principales actores:
 COMITÉ DE GESTION según el estándar será de

Calidad, Seguridad Información, Riesgos, etc. Tiene como
principal responsabilidad: la revisión y aprobación de: directrices (políticas), recursos para el despliegue del SG.
 OFICIAL según el estándar será de Calidad, Seguridad Información, Riesgos, etc. Tiene como principal
responsabilidad el desarrollo de metodologías, documentación para el cumplimiento de los requisitos obligatorios
para la certificación del SG según el estándar acogido por la organización.
 DUEÑOS DE PROCESOS generalmente relacionados con el límite organizacional descrito el alcance del SG,
mismo que tiene la responsabilidad de aplicar las directrices, metodologías aprobadas por la organización para la
implantación del SG.

Cláusula 6_ PLANIFICACION
6.1 Acciones para cubrir riesgos y oportunidades
En la mayoría de normas ISO (actualizadas desde 2013 hasta la

presente), han incorporado la gestión de riesgo como parte
esencial para el despliegue de las directrices del estándar a ser
adoptado por la organización.
Este apartado (6.1) propone 3 acciones puntuales desde la

perspectiva del riesgo:
1.- Identificar aquellos riesgos que afectasen en el diseño e

implementación del sistema de gestión (SG). Esto quiere decir
que el SG no logre ser eficiente, eficaz y cumpla con su objetivo.
 Por ejemplo: No disponibilidad de recursos (Humano, Técnico, Económico), Falta de compromiso e interés de
Alta Gerencia, Alta Rotación del Personal clave del proyecto de implementación, Insuficiente competencias del
personal para implementar el SG, entre otros.
2.Identificar aquellos riesgos que afecten con el propósito del estándar ((calidad, seguridad información, continuidad
de negocio, etc.) al momento de “aterrizarlo” hacia la organización.

3.Desarrollar una metodología para la IDENTIFICACION, ANÁLISIS, EVALUACIÓN, TRATAMIENTO de los riesgos, que
se aplicaría para los enunciados descritos en párrafos anteriores.
Se puede utilizar ISO 31000 como marco metodológico para desarrollar la gestión de riesgos y que se destina a
cualquier área de aplicación (calidad, seguridad información, ocupacional, continuidad, etc).
Dentro de la metodología, es necesario que la organización determine:

Criterios de Riesgo: términos de referencia respecto a los que se evalúa la importancia de un riesgo. Esto guara
relación con el apetito del riesgo.
criterios de impacto: permiten conocer la postura de la organización en cuanto a su predisposición (interés) a los
riesgos. Se debe establecer un conjunto de criterios cualitativos o cuantitativos con los cuales se podrá evaluar
el efecto del riesgo contra la misión y objetivos de la organización. Reputación/confianza del cliente, Financiera,
Productividad
Criterio de Probabilidad: son la medida referente a la frecuencia de ocurrencia del evento (Amenaza), si se ha
materializado (por ejemplo: número de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se ha materializado.
Esta metodología debe ser documentada, probada, aprobada y comunicadamente a los diferentes actores dentro
del SG descritos en la cláusula 5 Liderazgo. (Comité, Oficial, Dueño de Procesos, entre otros). Es un requisito obligatorio
para algunos SG.

6.2 Objetivos de XXX (área aplicación SG) y los planes para conseguirlo
“La organización debe establecer los objetivos de XXX (calidad, seguridad información, riesgos, etc) en las funciones y
niveles pertinentes”.

Al planificar cómo alcanzar sus objetivos según el área de aplicación, la organización debe determinar:
• lo que se hará
• qué recursos serán necesarios
• quién será responsable;
• cuando se completará;
• y cómo se evaluarán los resultados.
La formulación de los objetivos debe tomar en consideración:

• Objetivos para SG y objetivos para la aplicación de las directrices del estándar adoptado por la organización
• Los requisitos obligatorios del estándar para establecer el SG
• Los resultados de la gestión de riesgo
• La política SG + política relacionado al área de aplicación
• Metodología SMART (real, medible, alcanzable, etc) (es una recomendación)
• Comunicados adecuadamente
• Documentados y formalizado (aprobado por Comité SG o el ente asignado para dicho fin)

Cláusula 7_ SOPORTE
7.1 Recursos
En este apartado está relacionado directamente con

la cláusula 5.1, donde la Alta Gerencia demuestra el
compromiso con el SG a través de la dotación de
recursos (monetarios, RRHH, tiempo –hora/hombre)
para la planificación, ejecución, revisión y mejora del
SG.
Para la estimación de los recursos necesarios, es

importante disponer de una hoja de ruta de
implementación, es decir la descripción de
actividades (secuenciales o en paralelo) que son
necesarias para dar cumplimiento a los requisitos
obligatorios y complementarios del SG.
Como todo sistema de gestión, se apoya en el enfoque de procesos, es decir Entradas (insumos), Actividades Propias,
Salidas (productos), y los recursos requeridos para la interacción del proceso, se podría levantar un listado de
recursos considerando la siguiente clasificación: Instalaciones, Tecnología, Información, Suministros, RRHH,
Proveedores. Con este enfoque + recursos monetario y hora/hombre; en cada actividad clave para cumplir el requisito
del estándar se debería identificar los recursos necesarios para su ejecución.

7.2 Competencias
En este apartado es importante considerar el concepto

de competencia
 Conocimiento: Saber hacer

 Actitud: Manera de estar dispuesto a
comportarse u obrar.
 Habilidad: destreza, Capacidad de una persona
para hacer una cosa correctamente y con facilidad.
Para asegurar las competencias requeridas según

funciones o roles para el despliegue de los diferentes sistemas de gestión (Seguridad Información, Continuidad Negocio,
Calidad, Riesgos, etc) es necesario IDENTIFICAR las áreas de conocimiento solicitadas por tipo de rol o función
(Integrantes Comité, Oficial, Dueño Datos, etc), definir el nivel de experiencia (B), conocimiento específico (A),
conocimiento general o sensibilización (C) requerido; para a través de una evaluación GAP conocer si el personal
asignado cumple, caso contrario se deberá establecer acciones para “mitigar” la brecha a través de los diferentes
métodos de capacitación (talleres, autoaprendizaje, instrucción en puesto o función, etc).
Una buena práctica es la revisión de las cláusulas de las normas, identificar los requisitos obligatorios y establecer que
conocimientos permiten dar cumplimiento al requisito para establecer las áreas de conocimiento y consecuentemente
las competencias.

7.3 Concienciación
La concienciación está relacionada a que

comportamiento queremos reforzar o cambiar
dentro del sistema de gestión integrado, considerando las
normas vinculadas (calidad, seguridad información,
continuidad de negocio, etc)
La concienciación debe centrar su atención, interés en

asuntos que son relevantes reflejados en los resultados
del análisis de riesgos, específicamente de aquellos
eventos que pudiesen afectar la efectividad y eficiencia del
sistema de gestión, como la aplicación del área de
conocimiento.
Por ejemplo: Si gestionamos Seguridad de Información en el Sistema Integrado, los resultados de riesgos arrojan
que la mayoría de usuarios al gestionar sus claves, éstas se encuentran visibles en sus escritorios y adicional no son
“robustas y seguras”, al momento de aplicar la concienciación, se buscará los medios de comunicación más efectivos
(según la cultura organizacional) para reforzar un cambio de Hábito o de comportamiento sobre el uso correcto y
generación de claves, mostrando de ser posibles los efectos para la organización, sus procesos de negocio, y de igual
manera las sanciones establecidas por el incumplimiento de directrices, políticas establecidas, aprobadas y formalizadas
dentro de la organización.

7.4 Comunicación
La comunicación considera tanto la parte interna y externa de la

organización.
Se debe revisar las siguientes consideraciones:

Qué se comunicará
Cuándo se comunicará
Con quién comunicarse
Quién debe comunicar
Dependerá del público objetivo al interior de la organización la priorización de los contenidos a ser comunicado, por
ejemplo, la política de gestión del Sistema Integrado (qué) (son las directrices según el área de aplicación: seguridad
de información, continuidad de negocio, calidad, etc) es un contenido que DEBE ser comunicado a toda la organización,
en ese caso se determinará los medios más idóneos (intranet, mailing, sesiones informativas, etc) según la cultura
organizacional.
La periodicidad en la comunicación de contenidos, responde al seguimiento y los resultados obtenidos en la
implementación y maduración del sistema integrado; por ejemplo: al implantar “políticas de seguridad de información”
y su instrumentación a través de controles tecnológicos demanda que la comunicación sea continua, puesto que el
recurso humano debe comprender, adaptar las directrices y el uso de herramientas (controles) a su diario labor, lo cual
implica contar con medios de comunicación fluidos para “detectar” aquellos factores que inciden en el desarrollo del
sistema de gestión, y en algunos casos tomar los correctivos apoyados en algunos aspectos descritos en la
concienciación (7.3); roles y responsabilidades (5.3) entre otros.

7.5 Documentación
La gestión documental dentro de un Sistema de Gestión Integrado debe observar lo

siguiente:
1. Revisar si dispone la organización de un proceso o procedimiento

para la generación y Control Documental, para adaptar los formatos o plantillas
para dar cumplimiento a los REQUISITOS OBLIGATORIOS de cada cláusula (4-10)
según la norma a ser integrada (Seguridad Información, Riesgos, Continuidad,
Calidad, etc).
2. En caso de no disponer de proceso o procedimiento interno, algunas

normas en el apartado 7.5.2 (Creación) y 7.5.3 (Control Documental) solicita la
creación del procedimiento que permita establecer las directrices para generar la documentación (formatos, plantillas), medios de
comunicación a las partes involucradas del Sistema Integrado, y de igual manera las acciones para revisión y aprobación, dar de baja,
eliminación.
3. Es importante considerar el CICLO de VIDA de los DOCUMENTOS, para tener presente el nivel de protección, revisión, modificación,
eliminación.
4. Una buena práctica es la aplicación de LISTA MAESTRA DOCUMENTOS, donde se “mapea” los documentos generados por cumplimiento
de requisito según cláusula donde se tiene como principales elementos: Manual, política, procedimiento, instructivos técnicos, registros.
a) Política: describe los lineamientos generales que debe seguir una organización e indicar el compromiso de la organización con
respecto a las áreas de conocimiento adoptadas.
b) Procedimiento: describe el “cómo”, es decir dictan los pasos operativos específicos para cumplimiento de los requisitos.
c) Instructivo Técnico: Detallan las actividades a nivel de tareas que se tienen que llevar a cabo, enfocándose en la secuencia
de cada paso, y en las herramientas y métodos que serán utilizados con la exactitud requerida.

2022
PROXIMOS CURSOS ONLINE
Junio- Gestión de Políticas Seguridad de Información
Dirigido a:
 Oficial / Responsable de Seguridad de Información / Riesgos
 Jefe y Personal de Tecnología: Base Datos, Redes,
Comunicaciones, Seguridad IT.
JULIO – Taller ISO 27002:2022 Controles Tecnológicos y de

Seguridad de Información (versión actualizada)
Agosto – Taller ISO 27001 Sistema de Gestión de Seguridad de

Información (SGSI 27001:2013)
Septiembre – Taller ISO 27035 Gestión de Incidentes Seguridad de

Información


Integración de Sistemas de Gestión ISO

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Integración de Sistemas de Gestión ISO

Cargado por

Copyright:

Formatos disponibles

Ing. Rodrigo Flores Recalde.

Un Sistema de Gestión (SG) es una serie

Es importante mencionar que, en la actualización

Ing. Rodrigo Flores Recalde. MPDE

Al gestionar un sistema de gestión, el

1.Naturaleza de la organización, esto

2. Contexto Externo: asuntos o factores

Ing. Rodrigo Flores Recalde. MPDE

La identificación de expectativas, requisitos de las partes

Identificar si las partes interesadas son internas o externas

Internas: Propietarios o Accionistas, Gerencia,

Externas: Clientes, Proveedores, Entes de Control, Organismos Públicos.

Ing. Rodrigo Flores Recalde. MPDE

Para Determinar el Alcance del Sistema de Gestión (SG), es

1. Cuestiones internas y externas a tu sistema de gestión

Ing. Rodrigo Flores Recalde. MPDE

b. Procesos de Negocio (Cadena de Valor o

Ing. Rodrigo Flores Recalde. MPDE

“La alta dirección debe demostrar liderazgo y

Para generar compromiso, debemos concienciar sobre

1. Comunicar los requisitos obligatorios o de

2. Identificar si la implementación del sistema de

a. Competitiva: nos permite diferenciarnos de la competencia, y es difícil de igualar.

Ing. Rodrigo Flores Recalde. MPDE

5.2 La alta dirección debe establecer una política

 Proporcionan la fuente de instrucciones que detalla

Ing. Rodrigo Flores Recalde. MPDE

En algunos estándares se tendrá 2 tipos de política

Ing. Rodrigo Flores Recalde. MPDE

La alta dirección debe asegurarse de que las

Este apartado hace énfasis en la ESTRUCTURA

 COMITÉ DE GESTION según el estándar será de

Ing. Rodrigo Flores Recalde. MPDE

En la mayoría de normas ISO (actualizadas desde 2013 hasta la

Este apartado (6.1) propone 3 acciones puntuales desde la

1.- Identificar aquellos riesgos que afectasen en el diseño e

Ing. Rodrigo Flores Recalde. MPDE

Dentro de la metodología, es necesario que la organización determine:

Ing. Rodrigo Flores Recalde. MPDE

Ing. Rodrigo Flores Recalde. MPDE

Ing. Rodrigo Flores Recalde. MPDE

La formulación de los objetivos debe tomar en consideración:

Ing. Rodrigo Flores Recalde. MPDE

En este apartado está relacionado directamente con

Para la estimación de los recursos necesarios, es

Ing. Rodrigo Flores Recalde. MPDE

En este apartado es importante considerar el concepto

 Conocimiento: Saber hacer

Para asegurar las competencias requeridas según

Ing. Rodrigo Flores Recalde. MPDE

La concienciación está relacionada a que

La concienciación debe centrar su atención, interés en

Ing. Rodrigo Flores Recalde. MPDE

La comunicación considera tanto la parte interna y externa de la

Se debe revisar las siguientes consideraciones:

Ing. Rodrigo Flores Recalde. MPDE

La gestión documental dentro de un Sistema de Gestión Integrado debe observar lo

1. Revisar si dispone la organización de un proceso o procedimiento

2. En caso de no disponer de proceso o procedimiento interno, algunas

Ing. Rodrigo Flores Recalde. MPDE

JULIO – Taller ISO 27002:2022 Controles Tecnológicos y de

Agosto – Taller ISO 27001 Sistema de Gestión de Seguridad de

Septiembre – Taller ISO 27035 Gestión de Incidentes Seguridad de