Este documento proporciona orientación para ayudar a las organizaciones a lograr el éxito sostenido mediante un enfoque de gestión de la calidad. El éxito sostenido se logra satisfaciendo las necesidades de los clientes y partes interesadas a largo plazo de manera equilibrada, mediante la gestión efectiva de la organización, el aprendizaje continuo y la aplicación de mejoras e innovaciones. Promueve la autoevaluación para identificar fortalezas, debilidades y oportunidades de mejora.
1. Esta Norma Internacional proporciona orientación para ayudar a
conseguir el éxito sostenido para cualquier
organización en un entorno complejo, exigente y en constante cambio,
mediante un enfoque de gestión de la calidad.
El éxito sostenido de una organización se logra por su capacidad para
satisfacer las necesidades y las expectativas de sus clientes y de otras
partes interesadas, a largo plazo y de un modo equilibrado.
El éxito sostenido se puede lograr mediante la gestión eficaz de la
organización, mediante la toma de conciencia del entorno de la
organización, mediante el aprendizaje y a través de la aplicación
apropiada de mejoras, innovaciones o ambas.
Esta Norma Internacional promueve la autoevaluación como una
herramienta importante para la revisión del nivel de madurez de la
organización, abarcando su liderazgo, estrategia, sistema de gestión,
recursos y procesos, para identificar áreas de fortalezas y debilidades y
oportunidades tanto para la mejora, como para la innovación.
2. son
individuos y
otras
entidades
que aportan
valor a la
organización
Éxito sostenido:〈organización〉
resultado de la capacidad de
una organización para lograr y
mantener sus objetivos a largo
plazo.
Entorno de la organización
combinación de factores y de
condiciones internos y externos
que pueden afectar al logro de
los objetivos de una
organización y a su
comportamiento hacia las
partes interesadas.
3. tener una
planificación
con perspectiva
a largo plazo
realizar un
seguimiento
constante y
analizar
regularmente el
entorno de la
organización
identificar todas sus
partes interesadas
pertinentes, evaluar
sus impactos
individuales
potenciales
comprometer
continuamente a las
partes interesadas y
mantenerlas
informadas acerca de
las expectativas de
modo equilibrado
establecer
relaciones
mutuamente
beneficiosas con
proveedores,
aliados y otras
partes interesadas
evaluar regularmente el
cumplimiento de sus
planes y procedimientos
vigentes y tomar las
acciones correctivas y
preventivas apropiadas
establecer y
promover
procesos para la
innovación y para
la mejora
continua.
la alta dirección
debería adoptar
un enfoque de
gestión de la
calidad.
la organización estará
sometido a cambios
continuamente,
independientemente
de su tamaño, sus
actividades y
productos, o su tipo
para lograr el éxito
sostenido su alta
dirección debería:
4. hacer un seguimiento
continuo y analizar
regularmente el
entorno de la
organización,
identificar futuras
necesidades de
recursos y de
tecnología
actualizar su
estrategia y sus
políticas
Para establecer, adoptar y mantener una estrategia y una política eficaces, la
organización debería tener procesos para:
oportunidades y
amenazas
análisis de las
demandas del
cliente o las
reglamentarias,
sus productos, sus
fortalezas,
debilidades
La formulación de
la estrategia de
una organización
también debería
considerar
actividades tales
como el
5. La organización debería identificar los
recursos internos y externos
necesarios para lograr sus objetivos a
corto y largo plazo. Las políticas y los
métodos de la organización para la
gestión de los recursos deberían ser
coherentes con su estrategia.
Para asegurarse de que los recursos
(tales como equipos, instalaciones,
materiales, energía,
conocimientos,finanzas y personas)
se utilizan de manera eficaz y
eficiente.
Los resultados de estas revisiones
también deberían utilizarse como
elementos de entrada para las
revisiones que la organización hace
de su estrategia, objetivos y planes.
Es necesario implementar procesos
para proporcionar, asignar, hacer el
seguimiento, evaluar, optimizar,
mantener y proteger esos recursos.
6. Gestión Participación y motivación de las personas
Las personas son un recurso significativo de toda
organización, y su plena participación potencia su
capacidad de crear valor para las partes interesadas.
Es necesario asegurarse de que su ambiente de
trabajo fomenta el crecimiento personal, el
aprendizaje, la transferencia de conocimientos y el
trabajo en equipo.
Información
La organización debería establecer y mantener
procesos para recopilar datos fiables y útiles, y para
convertir esos datos en la información necesaria para
la toma de decisiones.
La organización debería asegurarse de la integridad,
la confidencialidad y la disponibilidad de la
información relativa a su desempeño, a las mejoras
del proceso y sobre el progreso en el logro del éxito
sostenido.
7. Los procesos son
específicos para una
organización y varían
dependiendo del
tipo, el tamaño y el
nivel de madurez de
la misma.
Deberían gestionarse
como un sistema, creando
y comprendiendo las
redes de procesos, sus
secuencias y sus
interacciones.
Se deberían revisar de
forma regular los procesos
y sus interrelaciones y
deberían tomarse las
acciones apropiadas para
su mejora.
Se deberían planificar y
controlar los procesos
para que estén
de acuerdo con la
estrategia de la
organización y
8. Seguimiento, medición, análisis y
revisión
son una herramienta eficaz para determinar los niveles de cumplimiento del sistema de
gestión de la organización con respecto a criterios dados y proporcionan información valiosa
para comprender, analizar y mejorar continuamente el desempeño de la organización.
Para ser eficaces, las auditorías internas se deberían llevar a cabo de manera sistemática, por
personas competentes, de acuerdo con un plan de auditoría.
es necesario que la organización realice el seguimiento, mida, analice y revise de manera regular
su desempeño para recopilar y gestionar la información necesaria para:
evaluar las fortalezas, debilidades, oportunidades y amenazas,
un proceso de medición y análisis para hacer el seguimiento de este progreso buscar y
proporcionar la información necesaria para las evaluaciones del desempeño y tomar
decisiones eficazmente.
Auditoría interna
Autoevaluación
La autoevaluación es una revisión exhaustiva y sistemática de las actividades de la
organización y de su desempeño en relación con su grado de madurez.
Puede ayudar a la organización a priorizar, planificar e implementar mejoras y/o
innovaciones, cuando sea necesario.
10. INTRODUCCION
La información tiene una importancia fundamental
para el funcionamiento y quizá incluso sea decisiva
para la supervivencia de una organización.
El hecho de disponer de la certificación según
ISO/IEC 27001 le ayuda a gestionar y proteger sus
activos de información.
11. Planificar: es una fase de diseño del SGSI, realizando la evaluación de
riesgos de seguridad de la información y la selección de controles adecuados.
Hacer: es una fase que envuelve la implantación y operación de los
controles.
Controlar: es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
Actuar: en esta fase se realizan cambios cuando sea necesario para llevar de
vuelta el SGSI a máximo rendimiento.
ISO 27001
El estándar para la seguridad de la información ISO/IEC
27001 fue aprobado y publicado como estándar internacional
en Octubre de 2005 por International Organization for
Standardization y por la comisión International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la
Seguridad de la Información (SGSI) según el conocido “Ciclo
de Deming”: PHCA:
12. USOS
La ISO/IEC 27001:2005 está compuesta para ser
adecuada a diferentes tipos de usos, incluidos,
entre otros, los siguientes:
Uso dentro de las organizaciones para formular
requerimientos y objetivos de seguridad.
Uso dentro de las organizaciones como una
forma de asegurar que los riesgos de seguridad
están gestionados efectivamente.
Uso de las organizaciones para proveer a los
clientes información relevante acerca de la
seguridad de información.
Uso de parte de la gerencia de la organización
para determinar el estado de las actividades de
la administración de la seguridad de la
información.
13. SISTEMA DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN (SGSI); (ISMS)
Es un conjunto de políticas de administración de la
información.
El término es utilizado principalmente por la ISO/IEC 27001.
Para una organización es el diseño, implantación, mantenimiento de
un conjunto de procesos para gestionar eficientemente la
accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de
información.
ISO/IEC 27001 es la única norma internacional auditable
que define los requisitos para un sistema de gestión de
la seguridad de la información (SGSI). La norma se ha
concebido para garantizar la selección de controles de
seguridad adecuados y proporcionales.
14. Un “Control” es lo que permite garantizar que cada
aspecto, que se valoró con un cierto riesgo, queda cubierto
y auditable.
Control abarca todo el conjunto de acciones, documentos,
medidas a adoptar, procedimientos, medidas técnicas, etc.
CONTROLES
Política de seguridad (Nivel político o estratégico):
Define las grandes líneas a seguir y el nivel de
compromiso de la dirección con ellas.
Plan de Seguridad (Nivel de planeamiento o táctico):
Define el “Cómo”. Detalle, para dar inicio al
conjunto de acciones o líneas rectoras que se
deberán cumplir.
Política de seguridad
15. Organización Interna: Compromiso de la Dirección,
coordinaciones, responsabilidades, autorizaciones, acuerdos de
confidencialidad, contactos con autoridades y grupos de interés
en temas de seguridad, revisiones independientes.
Partes externas: Riesgos relacionados con terceros, gobierno
de la seguridad respecto a clientes y socios de negocio.
Organización de la información
de seguridad
Responsabilidad en los recursos: Inventario y
propietario de los recursos, empleo aceptable de los
mismos.
Clasificación de la información: Guías de clasificación
y Denominación, identificación y tratamiento de la
información.
Administración de recursos
16. Antes del empleo: Responsabilidades y roles, verificaciones
curriculares, términos y condiciones de empleo.
Durante el empleo: Administración de responsabilidades,
preparación, educación y entrenamiento en seguridad de la
información.
Finalización o cambio de empleo: Finalización de
responsabilidades, devolución de recursos, revocación de
derechos.
Seguridad de los recursos humanos
Seguridad física y del entorno
Áreas de seguridad: Seguridad física, control físico de
entradas, seguridad de locales edificios y recursos,
protección contra amenazas externas y del entorno,
accesos públicos, áreas de entrega y carga.
Seguridad de elementos: Ubicación y protección de
equipos, elementos de soporte a los equipos, seguridad en
el cableado, mantenimiento de equipos.
17. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es
particularmente interesante si la protección de la información es crítica,
como en finanzas, sanidad sector público y tecnología de la información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la
información por encargo de otros, por ejemplo, empresas de subcontratación
de TI. Puede utilizarse para garantizar a los clientes que su información está
protegida.
¿QUIÉNES LA UTILIZAN?
18. • Establecimiento de una metodología de
gestión de la seguridad clara y
estructurada.
• Reducción del riesgo de pérdida, robo o
corrupción de información.
• Los clientes tienen acceso a la
información a través medidas de
seguridad.
• Los riesgos y sus controles son
continuamente revisados.
• Confianza de clientes y socios
estratégicos por la garantía de calidad y
confidencialidad comercial.
• Las auditorías externas ayudan
cíclicamente a identificar las debilidades
del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros
sistemas de gestión (ISO 9001, ISO
14001, OHSAS 18001…).
• Continuidad de las operaciones
necesarias de negocio tras incidentes
de gravedad.
• Conformidad con la legislación
vigente sobre información personal,
propiedad intelectual y otras.
• Imagen de empresa a nivel
internacional y elemento
diferenciador de la competencia.
• Confianza y reglas claras para las
personas de la organización.
• Reducción de costes y mejora de
los procesos y servicio.
• Aumento de la motivación y
satisfacción del personal.
• Aumento de la seguridad en base a
la gestión de procesos en vez de en la
compra sistemática de productos y
tecnologías.
BENEFICIOS
19. La implantación de ISO/IEC 27001 en una
organización es un proyecto que suele tener
una duración entre 6 y 12 meses.
El alcance va a estar sometido al Sistema de
Gestión de la Seguridad de la Información
elegido.
El equipo de proyecto de implantación debe
estar formado por representantes de todas
las áreas de la organización que se vean
afectadas por el SGSI, liderado por la
dirección y asesorado por consultores
externos especializados en seguridad
informática, derecho de las nuevas
tecnologías, protección de datos y sistemas
de gestión de seguridad de la información.
IMPLEMENTACIÓN
21. AS 9100:2009
Norma que es utilizada
por las organizaciones que
diseñan, desarrollan y/o
producen productos de
aviación, espaciales o de la
defensa, y por
organizaciones que
proporcionan soporte
posterior a la entrega,
incluyendo la provisión de
mantenimiento, repuestos
o materiales para sus
propios productos.
En este Estándar
Internacional, el termino
“producto” solamente
aplica a
a)producto previsto para ó
requerido por, un cliente
b) cualquier resultado
previsto de salida del
proceso para la realización
del producto
22. Esta norma es para uso
por las organizaciones
que diseñan,
desarrollan y / o
producir la aviación,
espaciales y de defensa
productos
y por las organizaciones que
proporcionan ayuda
después de entrega,
,incluyendo la disposición
del mantenimiento
repuestos o materiales para
sus propios productos
Las organizaciones que
adquieren piezas,
materiales y revenden estos
productos a un cliente en
las industrias de la aviación,
espacio y defensa debe
utilizar el estándar 9120
desarrollada IAQG .
Aplicación
La organización debe
asegurar que el
personal tengan
acceso y sean
conscientes de
la documentación del
sistema de gestión de
la calidad y los
cambios relevante
23. La organización deberá establecer, documentar, implementar y mantener
un sistema de gestión de calidad y continuamente mejorar la efectividad
de acuerdo con los requerimientos de los Estándares Internacionales
GESTION DEL SISTEMA DE CALIDAD
La organización debe:
a) determinar los procesos
necesarios para el QMS y
aplicarlos a través de la
organización
b) determinar criterios y
métodos necesarios para
asegurar que la operación y
el control de estos procesos
sean efectivos
c) asegurar la disponibilidad de
recursos e información
necesaria para soportar la
operación y monitoreo de esos
procesos
d)implementar acciones
necesarias de acuerdo a los
resultados planeados y mejora
continua de esos procesos
24. a) declaraciones
documentadas
de una política
de calidad y
objetivos
de calidad
b) un manual
de calidad
c)procedimientos
documentados y
registros
requeridos por el
Estándar
Internacional
d) documentos,
incluyendo registros,
determinados por la
organización,
necesarios para
asegurar la efectiva
planeación ,
operación y control
de estos procesos
La documentación del QMS debe
incluir:
25. Manual de Calidad:
La organización debe establecer y
mantener un manual de calidad que
incluya
a) el alcance del sistema de gestión
de calidad (QMS)
b) el procedimiento documentado
establecido
c) una descripción de la interacción
entre los procesos de el sistema
de gestión de calidad
Enfoque del Cliente
El director debe asegurar que los
requerimientos del cliente son
determinados para encontrar la
mayor satisfacción del cliente
Objetivos de Calidad
Los objetivos de calidad deben
ser medibles y consistentes
con la política de calidad
Política de Calidad:
La dirección debe asegurarse que la política de calidad
a) es apropiada a los objetivos de la organización
b) provee un marco para establecer y revisar los objetivos
de calidad
c) es comunicada y entendida dentro de la organización y
d) es revisada continuamente
26. Infraestructura
La organización debe
determinar, proveer y
mantener la infraestructura
necesaria para alcanzar la
conformidad de los
requerimientos de los
productos.
edificios, espacio de trabajo y
utilidades asociadas
equipo de procesos (software
y hardware)
servicios de soporte
como transporte, comunicación
ó sistemas de información
Ambiente de Trabajo
La organización debe
determinar y manejar el
ambiente de trabajo
necesario para alcanzar la
conformidad de los
requerimientos del producto
El termino “ambiente de trabajo” se
relaciona las condiciones bajo las
cuales es desarrollado el trabajo
incluyendo físicas, medio ambiente
y otros factores ( tales como ruido,
temperatura, humedad, luz ó
condiciones del tiempo )
27. Planeación de la Realización del Producto
• La organización debe planear y desarrollar los procesos necesarios para la
realización del producto.
En la planeación para la realización del producto, la organización
debe determinar los siguiente como apropiado
• a) los objetivos de calidad y los requerimientos de los productos
•incluyen consideraciones de aspectos tal como
seguridad de
productos y
personal
confiabilidad,
disponibilidad y
capacidad de
mantenimiento
productividad y
capacidad de
inspección
28. Propiedad del Cliente
La organización debe tener cuidado con la propiedad del cliente mientras
que esté bajo su control o siendo utilizado por la organización. La
organización debe identificar, verificar, proteger y salvaguardar los
productos proveídos propiedad del cliente, para ser usados por
la empresa. si cualquier propiedad del cliente es, dañada o encontrada
inadecuada para el uso, la organización debe reportar esto al cliente y
mantendrá registros
Preservación del Producto
La organización debe preservar los productos durante el proceso interno y
entrega a su destino manteniendo la conformidad de los requerimientos.
Como aplicable la preservación debe incluir identificación, manejo,
empaque, almacenamiento y protección.
29. Satisfacción del Cliente
la organización debe monitorear la
información relacionada de la
opinión del cliente y si la
organización a cumplido con los
requisitos del cliente
La organización debe desarrollar e
implementar planes para mejorar
la satisfacción del cliente
Mejora Continua
La organización debe
monitorear la implementación
de actividades de mejora y
evaluar la efectividad de los
resultados
NOTA: Las oportunidades de la
mejora continua pueden
resultar de las lecciones
aprendidas, resolución de
problemas.
Acciones Correctivas
La organización debe de tomar
acciones para eliminar las causas
de las no-conformidades en orden
para prevenir reocurrencia. Las
acciones correctivas deben
ser apropiadas para los efectos de
las no-conformidades encontradas
Acciones Preventivas
La organización debe determinar
acciones para eliminar las causas
de no-conformidades potenciales en
orden para prevenir que ocurran.
Las acciones preventivas deben
ser apropiadas para los efectos de
los problemas potenciales