NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
1. NORMAS
ISO 19011 Y
27001
Grupo #5 LOS ISHIKAWAS
UNIVERSIDAD CATÓLICA DE HONDURAS
“NUESTRA SEÑORA REINA DE LA PAZ”
Catedrático (a): Ing. Cinthia Guillen
Integrantes:
➔ Alisson Carolina Lopez Rivera 1501199602088
➔ Alizon Anahi Aguiriano Sánchez 1511200400140
➔ David Arturo Zavala Ramirez 1501199704708
➔ Helen Dayana Aguilar Umanzor 0801199800564
➔ Lisbeth Carely Peña Ochoa 1501200002584
➔ Marcela María García Zavala 0509200200102
➔ Madelin Ivana Solis Matute 1506200200146
Clase: Planeación y Diseño de un Modelo de Calidad
Sección: 1201
3. Este documento proporciona orientación para todos los
tamaños y tipos de organizaciones y auditorías de distintos
alcances y escalas, incluyendo aquellas realizadas por
equipos de auditoría grandes, típicamente de organizaciones
grandes, y aquellas realizadas por auditores individuales, ya
sea en organizaciones grandes o pequeñas. Esta orientación
debería adaptarse según sea apropiado al alcance, la
complejidad y la escala del programa de auditoría.
4. Esta norma internacional proporciona orientación
sobre la realización de auditorías de sistemas de
gestión de calidad y/o ambiental internas o
externas, al igual que sobre la gestión de los
programas de auditoría
5. ¿Cual es su alcance ?
Este documento proporciona orientación sobre los principios de auditoría, gestión de
programas de auditoría, realización de auditorías de sistemas de gestión, así como
orientación sobre la competencia de los responsables en el proceso de auditoría, incluida
la gestión del programa de auditoría, auditores en formación, auditores y equipos de
audiencia.
Es aplicable a todas las organizaciones que necesiten llevar a cabo auditorías internas o
externas de sistemas de gestión o gestionar un programa de auditorías.
6. Objetivos
● Orientar sobre la auditoría de los sistemas de gestión, incluyendo los principios de la
auditoría, la gestión de un programa de auditoría y la realización de auditorías de
sistemas de gestión, así como orientación sobre la evaluación de la competencia de
las personas que participan en el proceso de auditoría.
● La realización de actividades que incluyen a las personas responsables de la gestión
del programa de auditoría, los auditores y los equipos auditores.
7. ● Tiene como objetivo dar a conocer la orientación de los tipos de organizaciones y
auditorías de los diferentes tipos de tamaños y escalas ya sea realizadas por auditorías
de organizaciones grandes o individuales. Sin importar la complejidad de esta misma.
● Orientar sobre cómo se adopta el enfoque de auditoría combinada cuando se auditan
juntos dos o más sistemas de gestión de distintas disciplinas. Cuando estos sistemas
están integrados en un único sistema de gestión, los principios y procesos de auditoría son
los mismos que para una auditoría combinada (a veces, llamada auditoría integrada).
8. Contenido
Consta de 4 secciones
1 seccion: Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Se refiere específicamente a los
principios que debe tener los auditores,Y también a los principios referidos al proceso de auditoría,
como lo son la independencia (los auditores deben ser independientes e la actividad auditada) y
enfoque basado en evidencia (todo se basa en evidencias, es decir, en pruebas que sustente algo).
entre ellos:
a) Integridad: el fundamento de la profesionalidad Los auditores y las personas que gestionan
un programa de auditoría deberían:
— desempeñar su trabajo de forma ética, con honestidad y responsabilidad;
— emprender actividades de auditoría sólo si son competentes para hacerlo;
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
9. Sección 2: Gestión de un programa de auditoría.
Se refieren a las etapas del proceso de auditoría, siguiendo los principios ciclo de Deming conocido
como PHVA (planificar-hacer-verificar-actuar),
11. En el informe de auditoría (mencionado en la última etapa) se incluye las acciones correctivas
propuestas en caso de ser necesario, y se recalca si las mismas son urgentes. Antes de la
redacción del informe final es provechoso que se efectúe una reunión con la máxima autoridad de
la organización para que esté al tanto de la situación y puede colaborar en la propuesta de acciones
correctivas y su grado de urgencia.
12. Seccion 4: Competencia y evaluación de auditores.
En este aspecto se considera:
Atributos personales: Debe ser ético, diplomático, observador, persistente, seguro de sí mismo, sentido de
confidencialidad. Además, debe tener la capacidad de: ejecutar la auditoría dentro del horario establecido,
recopilar información (entrevistas, charlas, revisión de documentos), verificar que la evidencia de la auditoría
sea la necesaria para generar sus conclusiones.
Conocimientos y habilidades: De técnicas de auditoria, documentación de gestión de la calidad y de normas
de referencia, conocimiento de la organización; conocimiento de documentación (leyes, reglamentos,
normas, contratos, acuerdos y otros inherentes a la organización).
13. Si es un auditor de un sistema de gestión de la calidad debe tener conocimientos en: procesos, productos,
servicios, métodos relativos a la calidad (términos, herramientas, principios de la calidad). Si es un auditor
de sistemas de gestión ambiental, debe tener conocimientos en: métodos del área ambiental
(herramientas de gestión ambiental como evaluación de impactos ambientales por ejemplo, terminología
ambiental), tecnología ambiental (impacto ambiental, gestión de recursos ambientales, protección
ambiental), etc.
3) Educación, experiencia laboral y formación como auditor. A los auditores, se les abren un expediente en
la empresa que incluye el número de auditorías realizadas y horas de auditorías.
Los auditores y los líderes de equipos auditores deberían mejorar su competencia de manera continua. Los
auditores deberían mantener su competencia en auditoría a través de la participación regular en auditorías
de sistemas de gestión y del desarrollo profesional continuo.
14. Vocabulario
auditoría
alcance de la
auditoría
programa de
auditoría
auditoría
conjunta
auditoría
combinada
evidencia de la
auditoría
evidencia
objetiva
criterios de
auditoría
auditado
cliente de la
auditoría
conclusiones de
la auditoría
plan de
auditoría
hallazgos de la
auditoría
equipo auditor
no conformidad
conformidad
riesgo
auditor
experto técnico
sistema de
gestión
observador competencia
eficacia
requisito
proceso
desempeño
16. Esta norma internacional proporciona un modelo para la creación, implementación, operación,
supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de la Seguridad de la
Información (SGSI).
La adopción de un SGSI debería ser fruto de una decisión estratégica de una organización.
17. Objetivos sobre la creación del SGSI
a) Definir el alcance y los límites del SGSI en términos de las características de la actividad
empresarial.
b) Definir una política del SGSI acorde con las características de la actividad empresarial, la
organización, su ubicación, sus activos y tecnología.
c) Definir el enfoque de la evaluación de riesgos de la organización.
d) Identificar los riesgos
18. Objetivos sobre la creación del SGSI
a) Analizar y valorar los riesgos
b) Identificar y evaluar las opciones para el tratamiento de riesgos
c) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
d) Obtener la aprobación, por parte de la Dirección, de los riesgos residuales propuestos.
e) Obtener la autorización de la Dirección para implementar y operar el SGSI.
f) Elaborar una declaración de aplicabilidad
19. Enfoque por proceso
Esta norma internacional adopta un enfoque por proceso para la creación, implementación, operación,
supervisión, revisión, mantenimiento y mejora del SGSI de una organización.
El enfoque por proceso para la gestión de la seguridad de la información que se describe en esta
norma internacional anima a los usuarios a enfatizar la importancia de:
A. Comprender los requisitos de seguridad de la información de una organización
B. Implementar y operar los controles para administrar los riesgos de seguridad de la
información.
C. Supervisar y revisar el rendimiento y la eficacia del SGSI.
D. Asegurar la mejora continua sobre la base de la medición objetiva.
20. Esta norma sigue el modelo PHVA (planificar-hacer-verificar-actuar) que se aplica para estructurar todos los
procesos del SGSI.
21. Alcances de Implementación y operación del SGSI:
A. Formular un plan de tratamiento de riesgos.
B. Implementar el plan de tratamiento de riesgos
C. Implementar los controles seleccionados para cumplir los objetivos de control.
D. Gestionar la operación del SGSI.
E. Gestionar los recursos del SGSI.
22. Alcances de Supervisión y revisión del SGSI:
A. Ejecutar procedimientos de supervisión y revisión,así como otros
mecanismos de control.
B. Realizar revisiones periódicas de la eficacia del SGSI
C. Medir la eficacia de los controles para verificar si se han cumplido los
requisitos de seguridad.
D. Revisar las evaluaciones de riesgos e intervalos planificados, los riesgos
residuales y los niveles de riesgo aceptables que han sido identificados.
23. Alcance de Mantenimiento y mejora del SGSI:
A. Implementar en el SGSI las mejoras identificadas.
B. Comunicar las acciones y mejoras a todas las partes interesadas con un nivel
de detalle acorde con las circunstancias.
C. Asegurar que las mejoras alcancen los objetivos previstos.
24. Requisitos de la documentación:
A. Control de documentos
B. Control de registros
25. Responsabilidad de la dirección:
A. Compromiso de la dirección
B. Gestión de los recursos:
● Provisión de los recursos
● Concienciación, formación y capacitación
26. AUDITORÍAS INTERNAS DEL SGSI:
A. Cumplen los requisitos de esta norma internacional, así como la legislación y
normativa aplicables;
B. Cumplen los requisitos de seguridad de la información identificados;
C. Se implantan y se mantienen de forma efectiva; y
D. Dan el resultado esperado.
27. REVISIÓN DEL SGSI POR LA DIRECCIÓN
Esta revisión debe contemplar las oportunidades de mejora y la necesidad de cambios en el SGSI, incluyendo la
política y los objetivos de seguridad de la información.
A. Datos iniciales de la revisión
B. Resultados de la revisión
30. Estimación de riesgos
Incidente de seguridad
de la información
Evento de seguridad de la
información
Seguridad de la información
Confidencialidad
Activo Disponibilidad
Evaluación de riesgos Análisis del riesgo
Aceptación del riesgo
Riesgo residual
Integridad
Sistema de Gestión de la
Seguridad de la Información
(SGSI)
Declaración de aplicación
Tratamiento de riesgos
Gestión de riesgos