El documento proporciona información sobre la certificación de sistemas de gestión de seguridad de la información bajo la norma ISO/IEC 27001 realizada por NYCE. Describe el proceso de certificación, que incluye una revisión documental, auditorías de certificación en dos etapas, y una decisión final sobre la certificación. También resume los beneficios de la certificación, como establecer una metodología de gestión de seguridad clara y reducir riesgos a la información. NYCE ofrece otros servicios relacionados como an
Definiciones de Auditoria con sus autores y años, Diferencia entre Auditoria Interna y Externa. Importancia de la Auditoria Informática. Tipos y clases de auditoria Informática. Perfil del Auditor Informático. Objetivos de la Auditoria Informática.
Principios y Normas Relacionadas con la Auditoria. Presentacion de la materia: Auditoria I
Alumnas: Mariana Astudillo C.I 12.681.616
Deymilee Rocca C.I 27.878.271
Prof: Carmen Loero.
PNF En Contaduria Trayecto III De Pros.
Es la revisión y evaluación de los controles, sistemas, procedimientos de la informática en los equipos de cómputo, su utilización como también la eficiencia y seguridad de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Planeación de la auditoria
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
*Evaluación de los sistemas y procedimientos.
*Evaluación de los equipos de cómputo.
Definiciones de Auditoria con sus autores y años, Diferencia entre Auditoria Interna y Externa. Importancia de la Auditoria Informática. Tipos y clases de auditoria Informática. Perfil del Auditor Informático. Objetivos de la Auditoria Informática.
Principios y Normas Relacionadas con la Auditoria. Presentacion de la materia: Auditoria I
Alumnas: Mariana Astudillo C.I 12.681.616
Deymilee Rocca C.I 27.878.271
Prof: Carmen Loero.
PNF En Contaduria Trayecto III De Pros.
Es la revisión y evaluación de los controles, sistemas, procedimientos de la informática en los equipos de cómputo, su utilización como también la eficiencia y seguridad de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Planeación de la auditoria
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
*Evaluación de los sistemas y procedimientos.
*Evaluación de los equipos de cómputo.
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
ISO 27001 es una norma certificable. Una vez que la organización tenga implantado el Sistema de Gestión de la Seguridad de la información puede pasar a solicitar a una entidad certificadora acreditada una auditoría para obtener la certificación del sistema basado en ISO-27001.
Para pasar a la fase de auditoría y certificación, la organización debe contar con una experiencia de 3 meses.
Importancia de los esquemas de autorregulación PDPNYCE
Importancia de los esquemas de autorregulación de Datos Personales en México, para proteger el patrimonio y la reputación de los usuarios de las empresas.
Protección de Datos Personales para la industria, comercio y serviciosNYCE
Presentación del webinar realizado por NYCE para explicar los alcances que tiene la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) en empresas dedicadas a la industria, el comercio y los servicios.
La Norma Mexicana NMX-J-C-I-489-ANCE-ONNCCE-NYCE-2014 establece los requisitos para el diseño, construcción y operación de las edificaciones sustentables y energéticamente eficientes denominadas Centros de Datos de Alto Desempeño (CDAD), sumada a las normas de edificaciones sustentables vigentes.
Fue presentada en la Facultad de Ingeniería de la UNAM el pasado mes de septiembre de 2014.
En esta presentación podrás encontrar los aspectos que debes considerar al hacer un negocio con un proveedor de China, principalmente enfocándose en:
¿Cómo buscar proveedores confiables de China?
¿Cómo iniciar un contacto eficaz con el proveedor?
Características de la negociación
Verificación de Proveedores
Certificación del producto
Dispositivos Médicos y Medicamentos NYCE Tercero AutorizadoNYCE
Presentación en la que se describe el esquema de Terceros Autorizados el cual se inscribe dentro de la estrategia del gobierno mexicano para generar un mercado farmacéutico más competitivo con las opciones terapéuticas más innovadoras en beneficio de la población mexicana y como NYCE entró en este sector y los beneficios que ofrece como Unidad de Verificación de Tercero Autorizado.
Presentación en la que conocerás el portafolio de servicios de NYCE, S.C. en materia de Tecnologías de la Información que abarca: certificación en sistemas y personas y capacitación.
Sistema de Gestión de servicios de TI
ISO /IEC 20000-1:2011 Norma Internacional que establece los requisitos para dirigir y controlar las actividades de la gestión del servicio.
El sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer políticas, objetivos y alcanzarlos para el diseño, transición, entrega y mejora de los servicios
Presentación en la que podrás encontrar la descripción del esquema promovido por la COFEPRIS llamado Tercero Autorizado y el esquema de trabajo de NYCE designado como Unidad de Verificación Tercero Autorizado auxiliar en el control sanitario de Dispositivos Médicos.
Pruebas y Certificación de llantas NYCE Laboratorios S.C.NYCE
Presentación en donde encontrarán la descripción de las diferentes pruebas de laboratorio por las que pasa una llanta y el proceso de certificación que deben cumplir para que sean seguras para los consumidores.
PREVENCION DELITOS RELACIONADOS COM INT.pptxjohnsegura13
Concientizar y sensibilizar a los funcionarios, sobre la importancia de promover la seguridad en sus operaciones de comercio internacional, mediante la unificación de criterios relacionados con la trazabilidad de sus operaciones.
Entre las novedades introducidas por el Código Aduanero (Ley 22415 y Normas complementarias), quizás la más importante es el articulado referido a la determinación del Valor Imponible de Exportación; es decir la base sobre la que el exportador calcula el pago de los derechos de exportación.
Anna Lucia Alfaro Dardón, Harvard MPA/ID.
Opportunities, constraints and challenges for the development of the small and medium enterprise (SME) sector in Central America, with an analytical study of the SME sector in Nicaragua. - focused on the current supply and demand gap for credit and financial services.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Anna Lucia Alfaro Dardón, Harvard MPA/ID. The international successful Case Study of Banco de Desarrollo Rural S.A. in Guatemala - a mixed capital bank with a multicultural and multisectoral governance structure, and one of the largest and most profitable banks in the Central American region.
INCAE Business Review, 2010.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Dr. Luis Noel Alfaro Gramajo
2. Certificación en Sistemas de Gestión
ISO/IEC 27001
▲
NYCE es el único organismo de certificación
de sistemas de gestión de seguridad de la
información bajo la norma NMX-270001NYCE / ISO IEC 27001 acreditado por la
Entidad Mexicana de Acreditación (ema)
Número de acreditación 02/11.
▲
Forma parte de la lista
internacional de
organismo de certificación para ISO/IEC 27001
del International
Register of ISMS
Certificates. Lo que refuerza el carácter
internacional del certificado que emitimos.
http://www.iso27001certificates.com
4. Sistemas de gestión de Seguridad de la información
Importancia
Sistema de
Gestión de
Seguridad de
la Información
ISO/IEC 27001I
Apoya al cumplimento de la
Ley de Protección de Datos
Personales en Posesión de
Particulares
Garantizar la confidencialidad,
integridad y disponibilidad de la
información que es pieza clave de
las operaciones de negocio
Disminuye la posibilidad de que
existan vulneraciones que
comprometan la información
mediante la implementación de
controles que den tratamiento a
lo riesgos.
5. Estructura de la norma ISO/IEC 27001
▲
Documentación Gestión
►
►
►
►
►
►
►
►
►
Alcance
Política
Provisión de Recursos
Concientización y capacitación
Implementación del SGS (basado en la metodología PHVA )
Control de documentos y registros
Auditorías internas (procedimiento )
Revisión por la dirección (procedimiento)
Acciones correctivas y preventivas (Procedimiento)
6. Estructura de la norma ISO/IEC 27001
▲ Documentación
especifica de Seguridad de la
información
► Metodología para el análisis de riesgos
► Análisis, valoración y evaluación de riesgos
► Plan para el tratamiento de riesgos
► SOA - Declaración de aplicabilidad de controles
► Documentación e implementación de controles
7. Controles (Anexo A de la norma ISO/IEC 27001)
La norma establece 133 controles de seguridad referentes a:
▲
▲
▲
▲
▲
▲
▲
▲
▲
▲
▲
La Política de Seguridad
En el SOA se indica
Los Aspectos organizativos de la seguridad de la información
la justificación de la
La Gestión de activos
implementación o
La Seguridad ligada a los recursos humanos
exclusión de los
La Seguridad física y ambiental
controles
La Gestión de comunicaciones y operaciones
El Control de acceso
La Adquisición, desarrollo y mantenimiento de los sistemas de información
La Gestión de incidentes de seguridad de la información
La Gestión de la continuidad del negocio
El Cumplimiento regulatorio
8. Beneficios
▲
▲
▲
▲
▲
▲
▲
Establecimiento de una metodología de gestión de la seguridad clara
y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de
seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratégicos por la garantía de
calidad y confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las
debilidades del sistema y las áreas a mejorar.
Posibilidad de integrarse con otros sistemas de gestión (ISO 9001,
ISO 14001, 20000, OHSAS 18001…).
9. Proceso de Certificación
SOLICITUD DE CERTIFICACIÓN
REVISIÓN
DOCUMENTAL
INFORME
AUDITORIA DE CERTIFICACIÓN
ETAPA 1
ETAPA 2
RENOVACIÓN DE LA
CERTIFICACIÓN
INFORME
INFORME
NO
CONFORMIDADES
NO
SI
ACCIONES
CORRECTIVAS
SI
AUDITORIAS DE
VIGILANCIA
SON
ADECUADAS?
NO
EVALUACIÓN, ACUERDOS Y DECISIÓN
SOBRE LA CERTIFICACIÓN
ANÁLISIS DE LOS RESULTADOS DE LA AUDITORÍA
COMISIÓN TÉCNICA DE CERTIFICACIÓN
CERTIFICADO
(VIGENCIA DE 3 AÑOS)
10. Descripción del proceso de certificación
▲
Entrega de solicitud y documentación legal de la organización
Para iniciar el proceso de certificación se debe llenar y firmar la solicitud de servicio ) y enviar la
documentación descrita abajo:
►
Acta constitutiva
►
RFC
►
Alta ante hacienda
►
Comprobante de domicilio
►
Identificación oficial del representante legal
Revisión documental
La primera es una revisión documental, que no forzosamente tener que ser el sitio, donde revisamos que
existan todos los documentos que requiere el sistema de gestión (pueden revisar esa lista de documentos en
el cuestionario y /o solicitud de servicio correspondiente la cual está marca con un asterisco (*), es necesario
enviarlos para realizar esta revisión), al finalizar se entrega un informe donde se indica si la empresa es
candidata a la certificación, de lo contrario se indican los elementos faltantes. Que básicamente es el: Manual
o plan de gestión , procesos y/o procedimientos, políticas y planes. De registros es necesario presentar la
última revisión por la dirección y la última auditoría interna. Al finalizar se entrega un informe de revisión
documental . Es necesario aprobar esta etapa para realizar la auditoría de certificación.
▲
11. Descripción del proceso de certificación
Auditoría de Certificación Etapa 1
Después se lleva a cabo una visita en sitio con el fin de confirmar la existencia del sistema
de gestión y las responsabilidades. Al término de esta primera etapa se entrega un informe
de auditoría y el cliente tiene hasta 30 días para cerrar cualquier hallazgo que se haya
asentado como una no conformidad en el informe.
▲
Auditoría Certificación Etapa 2
Una vez cerradas las no conformidades de la etapa 1 se puede proceder a la etapa 2, que
tiene como objetivo evaluar la operación y seguimiento de la gestión de sistema, esta etapa
también se realiza en sitio y en ella se revisan los planes, registros, auditorías internas y
acciones de mejora existentes para los diferentes requisitos y procesos de la norma. De
igual manera que en la etapa 1, se entrega un informe al finalizar la etapa y en caso de
existir no conformidades se contará con 30 días para su cierre.
▲ Dictamen
Una vez atendidas las no conformidades el auditor líder elabora un informe final donde se
indica que las no conformidades fueron cerradas, y envía el expediente de la organización
al Comité Técnico de Certificación (grupo independiente al grupo auditor) quién a través de
un dictamen toma la decisión sobre la certificación.
▲
12. Otros servicios
Pre auditorías
• ISO/IEC 20000
• ISO/IEC 27001
Análisis de
brecha
• MAAGTIC
• ISO/IEC 20000
• ISO/IEC 27001
Análisis de
Riesgos
• Pruebas de
penetración
• Análisis de
aplicaciones
• Análisis de
vulnerabilidades
Otras
certificaciones y
dictaminaciones
• ISO 22301 Sistema de
Gestión de
Continuidad del
Negocio
• ISO/IEC 38500
Gobernabilidad
Corporativa de TI
• Certificaciones y
auditorías de sistemas
de Gestión Integrales.
13. Descripción de Otros Servicios
Análisis de Brecha:
▲
▲
Consiste en realizar un análisis comparativo del “estado de la situación actual” y el
“estado esperado o ideal” con el objetivo de identificar las diferencias (brechas) que
se desean eliminar para logra el estado deseado.
Plazo: El análisis de brecha se lleva a cabo en un plazo de 5 días hábiles.
Análisis de Riesgos:
▲
▲
Se realizan pruebas de penetración y analizan las aplicaciones donde se almacena y
gestiona la información crítica de la organización para identificar las vulnerabilidades,
amenazas y riesgos a los que está expuesta la información . Este análisis se realiza
con base a la norma ISO/IEC 27005:2008 “Gestión de riesgos de Seguridad de la
información.
Plazo: El análisis de riesgos se lleva a cabo en un plazo de 5 días hábiles
14. Descripción de Otros Servicios
Pre auditoría:
▲
▲
▲
Brinda a la organización una idea general de cómo está preparado su sistema de
gestión, es importante hacer énfasis que esta actividad tiene el único objetivo de
detectar áreas de oportunidad que pudiesen ser impactantes en la auditoria de
certificación.
Su propósito es evaluar los requerimientos clave dentro del sistema de gestión, en
donde se realiza un muestreo sobre los procesos, documentos y registros a ser
evaluados.
El resultado de una Pre Auditoria, no tiene impacto, ni consecuencias dentro de las
actividades de auditoria de certificación, de la misma manera no es necesario
presentar un plan de acciones correctivas sobre los hallazgos encontrados.
Plazo:
La pre auditoría se realiza en un plazo de 12 días hábiles, preferentemente 3
meses antes de llevar a cabo la auditoria de certificación.