SlideShare una empresa de Scribd logo

Taller Iso 27001.docx

Descargar como DOCX, PDF
Miguel Cañon Galvis
Miguel Cañon Galvis

Taller

Empresariales
1 de 4
TALLER APLICACIÓN NORMA ISO 27001 ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA METODOLOGIA ¨ Deben sustentar sus respuestas ¨ En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no. Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde 1. La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información. 2. La organización incluyó en el programa de auditorías la realización de auditorías de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorías a estos proveedores potenciales en un período de seis meses. La organización está decidiendo a quien designa como responsable de esta actividad. 3. La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano. En este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual de funciones específicamente auditores Internos al SGSI, los siguientes requisitos: Educación: Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber realizado dos auditorías internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita, observador, persistente y manejo de situaciones difíciles. En la revisión de registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y experiencia y están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez Ingeniero de Sistemas con su diploma como evidencia, certificado auditor interno aprobado y verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero Electrónico con especialización en auditorías internas al SGSI el cual evidenció con registro de aprobación. Por último Gian Wu certificado de Ingeniero Aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es Auditor del SGSI pues con la experiencia de trabajar durante 10 años en la organización y por su educación, ha sido más que suficiente. 4. La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de Firewall, gestión de
ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorías a intervalos regulares. 5. En su revisión de las auditorías internas realizadas en el último año, usted evidencia la inclusión de 2 auditorías internas en el programa de la organización XUAN Inc., registra en su lista de verificación la realización de auditorías internas a todos los procesos del SGSI en el primer semestre. En el último semestre evidencia que no se incluyó el proceso de gestión de cambios ni gestión de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las últimas dos auditorías no se detectó ninguna no conformidad. 6. La organización Zing productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la red. 7. La organización Online And Transaction S.A., utiliza las transacciones bancarias en línea (e-banking) como medio de pago a sus proveedores y a través de internet también para el envió de documentación importante a sus clientes. Se han implementado controles rigurosos para garantizar la integridad de información transmitida. No se han identificado riesgos al respecto. 8. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al encargado del mismo, los registros de mantenimiento de equipos, los cuales son gestionados en la base Informática “ATENEA”, donde según la explicación recibida se almacena toda la información de los computadores de la empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los mantenimientos realizados. 9. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontró la aprobación por parte de la alta dirección. 10. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la norma ISO 27001, el auditor evidenció que no hay una descripción de la metodología para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo. 11. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de la empresa explica que cuando usted vaya al proceso de producción, no va encontrar
al Director de Producción ni a dos Operadores considerados fundamentales para el mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted pregunta ¿cuánto hace que fueron retirados? Le responden que desde hace tres meses, pues el personal es contratado a término fijo y no han sido reemplazados porque el jefe financiero aún no ha designado los recursos necesarios. Usted escribe su comentario en su lista de chequeo. Así mismo usted pregunta ¿Cómo ha definido las competencias para el Director de producción, Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente le entrega unos documentos y explica que ha sido un trabajo muy bueno, realizado para definir las características de cada cargo. Después de revisarlos, sólo observa definidas las responsabilidades. Usted verifica los registros de terminación de la contratación laboral y no se encuentran. 12. En Diciembre, usted es designado como auditor líder para realizar una auditoria interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de las auditorías realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted pregunta ¿cuantas no conformidades fueron encontradas?, el responsable indica que en Julio se encontraron once (11) y en Octubre trece (13), todas cerradas eficazmente, porque la alta Dirección está muy comprometida. Usted revisa y observa que los problemas detectados durante el mes de octubre son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificación. 13. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de verificación de los sistemas de información?, entrega un programa que define una frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable menciona que se cambió intervalo a un año y además por el cambio de la infraestructura tecnológica. 14. En la auditoría realizada en la organización del sector estatal Ministerio Fomento Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuáles controles se han establecido para el centro de cómputo? El único procedimiento es el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y el personal de limpieza, en particular la señora que realiza la limpieza, la cual pertenece a la nómina de la agencia de limpieza ZZZ. El auditor entrevista a la señora de limpieza que se encuentra en el centro de cómputo ¿Cuál es el procedimiento utilizado para realizar la limpieza? Ella responde que al realizar la limpieza, deja la puerta abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso al centro de cómputo, no evidencia registro de la persona entrevistada, además detalla que la última revisión de los derechos de acceso fue hace dos años. Se revisó el listado de personal autorizado para disponer de llaves y no se encontró al personal
de la limpieza y no hay evidencia de la comunicación de la política de seguridad de la información a la agencia de limpieza ZZZ. 15. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario el cual indica “todas las transacciones por internet deben usar llave electrónica”. La alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de su implementación.

Recomendados

Auditoria
AuditoriaAuditoria
Auditoriajulio
 
Auditoría II Bim. Tutoría Virtual
Auditoría II Bim. Tutoría VirtualAuditoría II Bim. Tutoría Virtual
Auditoría II Bim. Tutoría VirtualVideoconferencias UTPL
 
Presentación2
Presentación2Presentación2
Presentación2yuliaranda
 
Auditoria I
Auditoria IAuditoria I
Auditoria IVideoconferencias UTPL
 
auditoria
auditoriaauditoria
auditoriaLizzie Polo
 
Auditoria de sistemas daniel martinez
Auditoria de sistemas daniel martinezAuditoria de sistemas daniel martinez
Auditoria de sistemas daniel martinezDaniel Martínez
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIAVideoconferencias UTPL
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasCarlosEduardoBrandt
 

Recomendados

Auditoria
AuditoriaAuditoria
Auditoriajulio
 
Auditoría II Bim. Tutoría Virtual
Auditoría II Bim. Tutoría VirtualAuditoría II Bim. Tutoría Virtual
Auditoría II Bim. Tutoría VirtualVideoconferencias UTPL
 
Presentación2
Presentación2Presentación2
Presentación2yuliaranda
 
Auditoria I
Auditoria IAuditoria I
Auditoria IVideoconferencias UTPL
 
auditoria
auditoriaauditoria
auditoriaLizzie Polo
 
Auditoria de sistemas daniel martinez
Auditoria de sistemas daniel martinezAuditoria de sistemas daniel martinez
Auditoria de sistemas daniel martinezDaniel Martínez
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIAVideoconferencias UTPL
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasCarlosEduardoBrandt
 
Trabajo final de auditoria i
Trabajo final de auditoria iTrabajo final de auditoria i
Trabajo final de auditoria iNoel Belliard Perez
 
Teoría auditoría rr hh
Teoría auditoría rr hhTeoría auditoría rr hh
Teoría auditoría rr hhLorena Tejada
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoWalter Y. Casallas
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAJosefernandezzafra
 
Auditoria trabajo de electiva V
Auditoria trabajo de electiva VAuditoria trabajo de electiva V
Auditoria trabajo de electiva Valianni
 
Pormenorizado tercercuatrimestre
Pormenorizado tercercuatrimestrePormenorizado tercercuatrimestre
Pormenorizado tercercuatrimestrePolitécnico Colombiano Jaime Isaza Cadavid
 
Auditoríasde calidad
Auditoríasde calidadAuditoríasde calidad
Auditoríasde calidadFélix Sánchez Paredes
 
Trabajo final con dipositivas
Trabajo final con dipositivasTrabajo final con dipositivas
Trabajo final con dipositivasLiszvett
 
Informe de auditoria empresarial
Informe de auditoria empresarialInforme de auditoria empresarial
Informe de auditoria empresarialCarlos Elias Perez Fermin
 
Revisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptxRevisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptxAlexanderCabezas12
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoriaStefany Paiz Brol Liceo Evangelico Olimpiadas
 
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdfAuditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdfClaudioLinarez1
 
Cuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidadCuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidadRoberto Tenezaca
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...Vanessa Hernández
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaingyon
 
AUD_TCII_MJBR
AUD_TCII_MJBRAUD_TCII_MJBR
AUD_TCII_MJBRaud_mj
 
Lectura auditoria th
Lectura auditoria thLectura auditoria th
Lectura auditoria thalexander_hv
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoriaGABRIELCARRASQUEL1
 
Procesoauditoria
ProcesoauditoriaProcesoauditoria
ProcesoauditoriaRuben Benito
 
Auditorias de sgi
Auditorias de sgiAuditorias de sgi
Auditorias de sgiJuan Ruiz U
 
161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.ppt161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.pptMiguel Cañon Galvis
 
Encuesta Ejemplo la Huerta.pdf
Encuesta Ejemplo la Huerta.pdfEncuesta Ejemplo la Huerta.pdf
Encuesta Ejemplo la Huerta.pdfMiguel Cañon Galvis
 

Más contenido relacionado

Similar a Taller Iso 27001.docx

Teoría auditoría rr hh
Teoría auditoría rr hhTeoría auditoría rr hh
Teoría auditoría rr hhLorena Tejada
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoWalter Y. Casallas
 
Auditoria trabajo de electiva V
Auditoria trabajo de electiva VAuditoria trabajo de electiva V
Auditoria trabajo de electiva Valianni
 
Trabajo final con dipositivas
Trabajo final con dipositivasTrabajo final con dipositivas
Trabajo final con dipositivasLiszvett
 
Revisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptxRevisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptxAlexanderCabezas12
 
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdfAuditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdfClaudioLinarez1
 
Cuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidadCuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidadRoberto Tenezaca
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...Vanessa Hernández
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaingyon
 
AUD_TCII_MJBR
AUD_TCII_MJBRAUD_TCII_MJBR
AUD_TCII_MJBRaud_mj
 
Lectura auditoria th
Lectura auditoria thLectura auditoria th
Lectura auditoria thalexander_hv
 
Auditorias de sgi
Auditorias de sgiAuditorias de sgi
Auditorias de sgiJuan Ruiz U
 

Similar a Taller Iso 27001.docx (20)

Trabajo final de auditoria i
Trabajo final de auditoria iTrabajo final de auditoria i
Trabajo final de auditoria i
 
Teoría auditoría rr hh
Teoría auditoría rr hhTeoría auditoría rr hh
Teoría auditoría rr hh
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejo
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
Auditoria trabajo de electiva V
Auditoria trabajo de electiva VAuditoria trabajo de electiva V
Auditoria trabajo de electiva V
 
Pormenorizado tercercuatrimestre
Pormenorizado tercercuatrimestrePormenorizado tercercuatrimestre
Pormenorizado tercercuatrimestre
 
Auditoríasde calidad
Auditoríasde calidadAuditoríasde calidad
Auditoríasde calidad
 
Trabajo final con dipositivas
Trabajo final con dipositivasTrabajo final con dipositivas
Trabajo final con dipositivas
 
Informe de auditoria empresarial
Informe de auditoria empresarialInforme de auditoria empresarial
Informe de auditoria empresarial
 
Revisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptxRevisión por la Dirección CTA 2020. iso 9001pptx
Revisión por la Dirección CTA 2020. iso 9001pptx
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoria
 
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdfAuditorias-del-SGSST-e-Inspecciones-de-SST.pdf
Auditorias-del-SGSST-e-Inspecciones-de-SST.pdf
 
Cuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidadCuestionario sistema de gestión de calidad
Cuestionario sistema de gestión de calidad
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
AUD_TCII_MJBR
AUD_TCII_MJBRAUD_TCII_MJBR
AUD_TCII_MJBR
 
Lectura auditoria th
Lectura auditoria thLectura auditoria th
Lectura auditoria th
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Procesoauditoria
ProcesoauditoriaProcesoauditoria
Procesoauditoria
 
Auditorias de sgi
Auditorias de sgiAuditorias de sgi
Auditorias de sgi
 

Más de Miguel Cañon Galvis

161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.ppt161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.pptMiguel Cañon Galvis
 
Tablas-de-Retencion-Documental.ppt
Tablas-de-Retencion-Documental.pptTablas-de-Retencion-Documental.ppt
Tablas-de-Retencion-Documental.pptMiguel Cañon Galvis
 
Compresion-y-Redaccion-de-Textos.pptx
Compresion-y-Redaccion-de-Textos.pptxCompresion-y-Redaccion-de-Textos.pptx
Compresion-y-Redaccion-de-Textos.pptxMiguel Cañon Galvis
 
Documentos-de-Redaccion-Administrativa - copia.pptx
Documentos-de-Redaccion-Administrativa - copia.pptxDocumentos-de-Redaccion-Administrativa - copia.pptx
Documentos-de-Redaccion-Administrativa - copia.pptxMiguel Cañon Galvis
 
Presenta_cion_costos_y_presupuestos_10201582062503528.ppt
Presenta_cion_costos_y_presupuestos_10201582062503528.pptPresenta_cion_costos_y_presupuestos_10201582062503528.ppt
Presenta_cion_costos_y_presupuestos_10201582062503528.pptMiguel Cañon Galvis
 
Atencion Cliente y Calidad Servicio.ppt
Atencion Cliente y Calidad Servicio.pptAtencion Cliente y Calidad Servicio.ppt
Atencion Cliente y Calidad Servicio.pptMiguel Cañon Galvis
 
Estructura-de-La-Red-de-Supply-Chain-Management.pptx
Estructura-de-La-Red-de-Supply-Chain-Management.pptxEstructura-de-La-Red-de-Supply-Chain-Management.pptx
Estructura-de-La-Red-de-Supply-Chain-Management.pptxMiguel Cañon Galvis
 

Más de Miguel Cañon Galvis (13)

161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.ppt161440989-Copia-de-Curso-de-Aparejos.ppt
161440989-Copia-de-Curso-de-Aparejos.ppt
 
Encuesta Ejemplo la Huerta.pdf
Encuesta Ejemplo la Huerta.pdfEncuesta Ejemplo la Huerta.pdf
Encuesta Ejemplo la Huerta.pdf
 
Tablas-de-Retencion-Documental.ppt
Tablas-de-Retencion-Documental.pptTablas-de-Retencion-Documental.ppt
Tablas-de-Retencion-Documental.ppt
 
Compresion-y-Redaccion-de-Textos.pptx
Compresion-y-Redaccion-de-Textos.pptxCompresion-y-Redaccion-de-Textos.pptx
Compresion-y-Redaccion-de-Textos.pptx
 
610679172-Tipos-de-Cartas.pptx
610679172-Tipos-de-Cartas.pptx610679172-Tipos-de-Cartas.pptx
610679172-Tipos-de-Cartas.pptx
 
Documentos-de-Redaccion-Administrativa - copia.pptx
Documentos-de-Redaccion-Administrativa - copia.pptxDocumentos-de-Redaccion-Administrativa - copia.pptx
Documentos-de-Redaccion-Administrativa - copia.pptx
 
Presenta_cion_costos_y_presupuestos_10201582062503528.ppt
Presenta_cion_costos_y_presupuestos_10201582062503528.pptPresenta_cion_costos_y_presupuestos_10201582062503528.ppt
Presenta_cion_costos_y_presupuestos_10201582062503528.ppt
 
Atencion Cliente y Calidad Servicio.ppt
Atencion Cliente y Calidad Servicio.pptAtencion Cliente y Calidad Servicio.ppt
Atencion Cliente y Calidad Servicio.ppt
 
431917552-resol.pptx
431917552-resol.pptx431917552-resol.pptx
431917552-resol.pptx
 
Estructura-de-La-Red-de-Supply-Chain-Management.pptx
Estructura-de-La-Red-de-Supply-Chain-Management.pptxEstructura-de-La-Red-de-Supply-Chain-Management.pptx
Estructura-de-La-Red-de-Supply-Chain-Management.pptx
 
Partes cuentas.docx
Partes cuentas.docxPartes cuentas.docx
Partes cuentas.docx
 
Presentacion evaluacion final (2)
Presentacion evaluacion final (2)Presentacion evaluacion final (2)
Presentacion evaluacion final (2)
 
Poveda unidad 2_8 (1)
Poveda unidad 2_8 (1)Poveda unidad 2_8 (1)
Poveda unidad 2_8 (1)
 

Último

Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfaldonaim115
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...BaleriaMaldonado1
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoPsicoterapia Holística
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxmarlonrea6
 
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptxADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptxRafaelSabido2
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edxEvafabi
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVTeresa Rc
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfJaredQuezada3
 
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...TaniaCruzInga
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxnathalypaolaacostasu
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmisssusanalrescate01
 
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesLas sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesPatrickSteve4
 
EL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de socialesEL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de socialeszaidylisbethnarvaezm
 
liderazgo guia.pdf.............................
liderazgo guia.pdf.............................liderazgo guia.pdf.............................
liderazgo guia.pdf.............................MIGUELANGELLEGUIAGUZ
 
4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptx4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptxRicardo113759
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptxi7ingenieria
 
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(HelenDanielaGuaruaBo
 
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdfComparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdfAJYSCORP
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADAgordonruizsteffy
 

Último (20)

Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercado
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptxADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdf
 
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesLas sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
 
EL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de socialesEL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de sociales
 
liderazgo guia.pdf.............................
liderazgo guia.pdf.............................liderazgo guia.pdf.............................
liderazgo guia.pdf.............................
 
4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptx4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptx
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
 
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
 
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdfComparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
Comparativo DS 024-2016-EM vs DS 023-2017-EM - 21.08.17 (1).pdf
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
 

Taller Iso 27001.docx

  • 1. TALLER APLICACIÓN NORMA ISO 27001 ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA METODOLOGIA ¨ Deben sustentar sus respuestas ¨ En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no. Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde 1. La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información. 2. La organización incluyó en el programa de auditorías la realización de auditorías de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorías a estos proveedores potenciales en un período de seis meses. La organización está decidiendo a quien designa como responsable de esta actividad. 3. La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano. En este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual de funciones específicamente auditores Internos al SGSI, los siguientes requisitos: Educación: Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber realizado dos auditorías internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita, observador, persistente y manejo de situaciones difíciles. En la revisión de registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y experiencia y están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez Ingeniero de Sistemas con su diploma como evidencia, certificado auditor interno aprobado y verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero Electrónico con especialización en auditorías internas al SGSI el cual evidenció con registro de aprobación. Por último Gian Wu certificado de Ingeniero Aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es Auditor del SGSI pues con la experiencia de trabajar durante 10 años en la organización y por su educación, ha sido más que suficiente. 4. La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de Firewall, gestión de
  • 2. ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorías a intervalos regulares. 5. En su revisión de las auditorías internas realizadas en el último año, usted evidencia la inclusión de 2 auditorías internas en el programa de la organización XUAN Inc., registra en su lista de verificación la realización de auditorías internas a todos los procesos del SGSI en el primer semestre. En el último semestre evidencia que no se incluyó el proceso de gestión de cambios ni gestión de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las últimas dos auditorías no se detectó ninguna no conformidad. 6. La organización Zing productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la red. 7. La organización Online And Transaction S.A., utiliza las transacciones bancarias en línea (e-banking) como medio de pago a sus proveedores y a través de internet también para el envió de documentación importante a sus clientes. Se han implementado controles rigurosos para garantizar la integridad de información transmitida. No se han identificado riesgos al respecto. 8. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al encargado del mismo, los registros de mantenimiento de equipos, los cuales son gestionados en la base Informática “ATENEA”, donde según la explicación recibida se almacena toda la información de los computadores de la empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los mantenimientos realizados. 9. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontró la aprobación por parte de la alta dirección. 10. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la norma ISO 27001, el auditor evidenció que no hay una descripción de la metodología para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo. 11. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de la empresa explica que cuando usted vaya al proceso de producción, no va encontrar
  • 3. al Director de Producción ni a dos Operadores considerados fundamentales para el mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted pregunta ¿cuánto hace que fueron retirados? Le responden que desde hace tres meses, pues el personal es contratado a término fijo y no han sido reemplazados porque el jefe financiero aún no ha designado los recursos necesarios. Usted escribe su comentario en su lista de chequeo. Así mismo usted pregunta ¿Cómo ha definido las competencias para el Director de producción, Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente le entrega unos documentos y explica que ha sido un trabajo muy bueno, realizado para definir las características de cada cargo. Después de revisarlos, sólo observa definidas las responsabilidades. Usted verifica los registros de terminación de la contratación laboral y no se encuentran. 12. En Diciembre, usted es designado como auditor líder para realizar una auditoria interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de las auditorías realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted pregunta ¿cuantas no conformidades fueron encontradas?, el responsable indica que en Julio se encontraron once (11) y en Octubre trece (13), todas cerradas eficazmente, porque la alta Dirección está muy comprometida. Usted revisa y observa que los problemas detectados durante el mes de octubre son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificación. 13. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de verificación de los sistemas de información?, entrega un programa que define una frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable menciona que se cambió intervalo a un año y además por el cambio de la infraestructura tecnológica. 14. En la auditoría realizada en la organización del sector estatal Ministerio Fomento Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuáles controles se han establecido para el centro de cómputo? El único procedimiento es el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y el personal de limpieza, en particular la señora que realiza la limpieza, la cual pertenece a la nómina de la agencia de limpieza ZZZ. El auditor entrevista a la señora de limpieza que se encuentra en el centro de cómputo ¿Cuál es el procedimiento utilizado para realizar la limpieza? Ella responde que al realizar la limpieza, deja la puerta abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso al centro de cómputo, no evidencia registro de la persona entrevistada, además detalla que la última revisión de los derechos de acceso fue hace dos años. Se revisó el listado de personal autorizado para disponer de llaves y no se encontró al personal
  • 4. de la limpieza y no hay evidencia de la comunicación de la política de seguridad de la información a la agencia de limpieza ZZZ. 15. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario el cual indica “todas las transacciones por internet deben usar llave electrónica”. La alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de su implementación.