1. Taller de Implementación
de la norma ISO 27001
Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática
2. Agenda
Sección 1: Principios fundamentales de la Seguridad
de la Información
Sección 2: Estándar y Marco Normativo
Sección 3: Implementación de la Norma ISO 27001
2
4. ¿Qué es Seguridad?
• El término seguridad proviene
de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.
4
5. Información y Activo
• Información: Datos significativos
• Activo: Cualquier bien que tiene valor para la
organización
5
6. Activo de Información
• Las organizaciones poseen información que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de
información.
6
7. Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
8. Documento - Registro
• Documento: Información y su medio de soporte
• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas
8
9. Seguridad de la Información
La seguridad de la información es el conjunto de
medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.
9
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
10. Seguridad de la Información
Abarca todo tipo de información
Impresa o escrita a mano
Grabada con asistencia técnica
Transmitida por correo electrónico o electrónicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.
10
11. Confidencialidad
• La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no
autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la
debida autorización.
11
12. Integridad
• Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12
13. Disponibilidad
• La disponibilidad es la característica, cualidad o
condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
• La disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento
que así lo requieran.
13
14. Análisis de Riesgos
Vulnerabilidad
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
extrínsecas.
14
15. Análisis de Riesgos
Amenazas
• Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.
15
18. Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causará daño a la organización
18
Probabilidad
de
Ocurrencia
Consecuencia
(Impacto) Riesgo
19. El Riesgo en función del
Impacto y la Probabilidad
19
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto
20. Objetivo de Control y Control
Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad
20
21. Tipos de Controles
Control preventivo
Desalentar o evitar la aparición de problemas
Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
21
22. Tipos de Controles
Control de investigación
Buscar e identificar anomalías
Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).
22
23. Tipos de Controles
Control correctivo
Evitar la repetición de anomalías
Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
26. ¿Qué es ISO?
• ISO es una red de organismos nacionales de
estandarización de mas de 160 países.
• Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
• Se han publicado mas de 19,000 normas desde 1947
26
27. Principios
Básicos de las Normas ISO
1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad
para forzar la adopción de sus normas
3. Orientación al negocio: ISO sólo desarrolla
normas para las que existe demanda del mercado
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
5. Cooperación internacional: más de 160 países
además de organismos de enlace
Principios
Básicos de las
Normas ISO
27
28. ¿Qué son los Sistemas de Gestión?
• Un sistema de gestión es una estructura
probada para la gestión y mejora continua
de las políticas, los procedimientos y
procesos de la organización.
• Un sistema de gestión ayuda a lograr los
objetivos de la organización mediante una
serie de estrategias, que incluyen la
optimización de procesos, el enfoque
centrado en la gestión y el pensamiento
disciplinado.
28
29. Los Sistemas de Gestión se Integran
SISTEMA
DE
GESTION
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
CALIDAD
ISO 9001
AMBIENTALISO
ISO 14001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
29
30. ¿Qué es un SGSI?
• Un SGSI (Sistema de Gestión de Seguridad de la
Información) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la protección de los activos de información para
lograr objetivos de negocio.
• El análisis de los requisitos para la protección de los
activos de información y la aplicación de controles
adecuados para garantizar la protección de estos activos
de información, contribuye a la exitosa implementación
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system) 30
31. ¿Qué es un SGSI?
El Sistema de Gestión de la Seguridad de la Información
(SGSI) en las empresas ayuda a establecer
estas políticas, procedimientos y controles en relación
a los objetivos de negocio de la organización.
31
33. Ciclo de Deming
• El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
• El conocido Ciclo Deming o también se le denomina el
ciclo PHVA que quiere decir según las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)
33
35. Familia
ISO 27000
VocabularioRequisitosGeneralidadesIndustria
ISO 27000
Vocabulario
ISO 27001
Requisitos del
SGSI
ISO 27004
Métricas
ISO 27002
Código buenas
practicas
ISO 27003
Guía de
Implementación
ISO 27005
Gestión de
Riesgos
ISO 27007-27008
Guías de Auditoria
ISO 270XX
Vocabulario
ISO 27011
Telecomunicaciones
ISO 27799
Salud
ISO 27009
Requisitos organización
certificadora
35
36. ISO 27001
• Especifica los requisitos de gestión
de un SGSI (Cláusula 4 a 10)
• Los requisitos (cláusulas) son
escritos utilizando el verbo
"deberán" en imperativo
• Anexo A: 14 cláusulas que
contienen 35 objetivos de control y
114 controles
• La organización puede ser
certificada en esta norma
36
37. ISO 27002
• Guía para el código de prácticas para los
controles de la seguridad de la
información (Documento de referencia)
• Cláusulas escritas utilizando el verbo
"debería"
• Compuesto de 14 cláusulas, 35 objetivos
de control y 114 controles
• Una organización no puede ser certificada
en esta norma
• También conocida como ISO 17799
37
38. ISO 27003
• Guía para el código de prácticas para
la implementación de un SGSI
• Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
• Consta de 9 cláusulas que definen 28
etapas para implementar un SGSI
• La certificación con esta norma no es
posible
38
40. Estructura de la Norma
ISO 27001
Clausula 7
Soporte
Clausula 4
Contexto de la
organización
Clausula 5
Liderazgo
Clausula 5
Planificación
Clausula 8
Funcionamiento
Clausula 10
Mejora
Clausula 9
Evaluación del
desempeño
40
42. Enfoque a Procesos
• La aplicación del enfoque de proceso variará de una
organización a otra en función de su tamaño,
complejidad y actividades
• A menudo las organizaciones identifican demasiados
procesos
• Los procesos se pueden definir como un grupo lógico
de tareas relacionadas entre sí, para alcanzar un
objetivo definido.
ENTRADA SALIDAPROCESO
42
43. Información Documentada
Ciclo de Vida de los Documentos
43
1. Creación
2. Identificación
3. Clasificación y seguridad
4. Modificación
9. Disposición
8. Archivado
7. Uso adecuado
6. Distribución
5. Aprobación
44. ISO 30301
• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos
• La organización puede ser
certificada en esta norma
44
45. La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección
45
46. Etapas
Ciclo de Deming
• Compromiso de la dirección
• Planificación
• Fechas
• Responsables
• Definir alcance del SGSI
• Definir Política de Seguridad
• Metodología de evaluación de
riesgos.
• Inventarios de activos
• Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditorias internas del
SGSI
• Registrar acciones y eventos
• Definir plan de tratamiento de
riesgos
• Implantar plan de tratamiento
de riesgos
• Implementar controles
• Formación y concienciación
• Operar el SGSI
• Implantar mejoras
• Acciones correctivas
• Acciones Preventivas
• Comprobar eficacia de las
acciones
46
47. Iniciando el SGSI
47
Definición del enfoque para la aplicación del SGSI
• Velocidad de Implementación
• Nivel de madurez del proceso y controles
• Expectativas y ámbito
Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
Alineación con las mejores practicas
• ISO 27001
• ISO 27002
• ISO 27003
• ISO 27004
48. Nivel de Madurez
Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos
48
50. Fase I Organización
• Obtener el apoyo institucional
• Determinar el alcance del Sistema de Gestión de
Seguridad de la Información
• Determinar la declaración de Política de Seguridad
de la Información y objetivos
• Determinar criterios para la evaluación y aceptación
de riesgos
50
Desarrollar las actividades principales para la dirección e
inicio de la implantación del SGSI.
51. Obtener el Apoyo
Institucional
• Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Protección de Procesos de Negocio
3. Disminución de incidentes
4. Ordenamiento de su negocio
51
52. AREAS FUNCIONALES
Organización de la Seguridad
COSI
COMITÉ TÉCNICO DE
SEGURIDAD DE LA
INFORMACION
CGSI
COMITÉ DE GESTION DE
SEGURIDAD DE LA
INFORMACION
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
SI
RESPONSABLE SEGURIDAD
INFORMATICA
SF
RESPONSABLE SEGURIDAD
FISICA
ROLES
52
53. Comité Gestión
El Comité de Gestión de Seguridad de la Información es el
máximo órgano consultivo de carácter no técnico sobre la
seguridad de la información.
Se reunirá por lo menos una vez al mes para evaluar la
situación institucional en materia de seguridad de la
información y el plan de acción para mejorarla
continuamente.
Las funciones del Comité de Gestión de Seguridad de la
Información son las siguientes:
• Informar la situación Institucional en materia de seguridad de la información.
• Proponer la designación del Oficial de Seguridad de la Información.
• Designar a los miembros del Comité Técnico de Seguridad de la Información.
• Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la
Información (SGSI). 53
54. Comité Técnico
El Comité Técnico de Seguridad de la Información es un órgano
consultivo de carácter técnico y está integrado por los Jefes de
los procesos involucrados en el alcance quienes deberán tener
un amplio conocimiento de los procesos que se realizan en la
institución.
Las funciones del Comité Consultivo de Seguridad de la
Información son las siguientes:
• Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de
Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos, activos
de información, procesamiento de la información, mejoras al SGSI, entre otros.
• Ser “embajadores” de seguridad de la información para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
• Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir
informes al Comité de Gestión de Seguridad de la Información.
• Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la
Información.
54
55. Determinar el Alcance
del SGSI
• Se debe definir en función de características del
negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI
(el SGSI no tiene por qué abarcar toda la
organización; de hecho, es recomendable empezar
por un alcance limitado)
55
56. Determinar el Alcance
del SGSI
• Definir los limites de la organización.
• Definir los limites de los sistemas de información.
• Definir el ámbito y limites físicos.
• Definir el alcance del SGSI.
• Cambios en el alcance.
• Extensión del ámbito de aplicación.
56
57. Determinar el Alcance
del SGSI
Cualquier cambio en el alcance debe ser
evaluado, aprobado y documentado
57
58. Determinar la Declaración de Política de
Seguridad de la Información y Objetivos
• Debe tener el marco general y los objetivos de seguridad de la
información de la organización
• Debe explicar los requisitos de negocio, legales y contractuales
en cuanto a seguridad
• Debe de estar alineada con la gestión de riesgo general,
establecer criterios de evaluación de riesgo y ser aprobada por
la Dirección.
• La política de seguridad es un documento muy general, una
especie de "declaración e intenciones" de la Dirección, por lo
que no pasará de dos o tres páginas.
58
59. Tipos de Política
59
Política de
Seguridad
Política de
Seguridad de
la Información
Política del
SGSI
Política sobre
control de
acceso
Política sobre
criptografía
Política de
gestión de
incidentes
POLITICA GENERALES
DE ALTO NIVEL
POLITICA ALTO NIVEL
X TEMAS ESPECIFICOS
POLITICA
DETALLADAS
60. Estructura de una Política
• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones
60
61. Determinar Criterios para la
Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de
riesgos y determinar el nivel de riesgo aceptable.
• Existen muchas metodologías de evaluación de riesgos
aceptadas; la organización puede optar por una de ellas,
hacer una combinación de varias o crear la suya propia.
• ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cómo definirla.
61
62. Algunas Metodologías para
la Evaluación de Riesgos
• Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
62
63. Factores en la Selección
de la Metodología
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del método
3. Posibilidad de herramientas de software
4. Documentación, formación, apoyo.
5. Facilidad de uso
6. Costo de utilización
7. Existencia de material de comparación (métricas,
estudios, casos, etc.)
63
65. • Realizar evaluación de Riesgos
• Conducir un análisis entre los riesgos identificados y
las medidas correctivas existentes
• Desarrollar un plan de tratamiento de riesgos
• Desarrolla la declaración de Aplicabilidad
65
Desarrollar las actividades de planificación requeridas por la
norma de manera metodológica y en concordancia con la
política y objetivos del SGSI dentro del alcance del mismo.
66. Realizar Evaluación de Riesgos
Inventario de Activos
• Todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro
del alcance del SGSI
• Se debe inventariar el nombre activo, tipo,
responsable y ubicación como campos mínimos.
• Se debe realizar la dependencia de activos
66
67. Realizar Evaluación de Riesgos
Inventario de Activos
67
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB)
68. Realizar Evaluación de Riesgos
Análisis de Riesgos
• Análisis de los riesgos: evaluar el daño resultante de
un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
función de los niveles definidos previamente) o
requiere tratamiento.
68
71. Selección de Controles y SOA
• Confeccionar una Declaración de Aplicabilidad: la
llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razón de su
selección, los controles actualmente implementados
y la justificación de cualquier control del Anexo A
excluido.
• Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.
71
74. • Elaborar el plan de trabajo priorizado
• Desarrollar documentos y registros necesarios
• Implementar los controles seleccionados
74
Desplegar las actividades de implementación del SGSI
75. Plan de Trabajo del SGSI
• Un plan de trabajo es un instrumento de
planificación.
• Estructura actividades, responsables, tiempos,
recursos, generalmente se expresa por medio de un
diagrama de gantt.
75
76. Plan de Capacitación
1. Definir las necesidades de capacitación
2. Diseño y planificación de la capacitación
3. Provisión de la capacitación
4. Evaluación de los resultados de la capacitación
76
78. Plan de Capacitación
78
La gran diferencia entre la formación y la concientización
es que la capacitación tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atención en un interés individual o una serie
de asuntos sobre la seguridad.
79. Plan de Comunicación
79
1. Determinar qué queremos conseguir, cuáles son nuestros
objetivos.
2. Decidir a quién vamos a dirigir nuestra comunicación.
3. Pensar cuál es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cuánto).
5. Seleccionar los medios apropiados y su frecuencia de
utilización.
6. Ejecutar el plan de medios y medir su impacto.
80. Plan de Comunicación
Partes Interesadas
• Clientes
• Proveedores
• Empleados
• Comunidades
• Medios de Comunicación
• Inversores
80
El compromiso con las partes interesadas constituye una oportunidad para que una
organización pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
81. Controles de la ISO 17799
ahora 27002
Área 1: Política de seguridad.
Área 2: Organización de la seguridad de la información.
Área 3: Gestión de activos.
Área 4: Seguridad relacionada con los recursos humanos.
Área 10: Gestión de la continuidad del negocio .
Área 6: Gestión de comunicaciones y operaciones.
Área 7: Control de accesos.
Área 8: Adquisición, desarrollo y mantenimiento de sistemas.
Área 9: Gestión de incidentes.
Área 5: Seguridad física y del entorno
Área 11: Conformidad
Seguridad
Organizativa
Seguridad
Lógica
Seguridad
Física
Seguridad
Legal
81
83. • Monitorear el desempeño del SGSI
• Fortalecer la gestión de incidentes
• Desarrollar documentos y registros necesarios
• Desarrollar las actividades para evidenciar la mejora
continua
83
Realizar actividades de revisión del SGSI evidenciando
el cumplimiento de los requisitos de la norma
84. Monitoreo
Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto
de supervisión o medición
• Corresponde a la empresa determinar qué
es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la
vigilancia y medición de las actividades
que están vinculadas a los procesos
críticos que permiten a la organización
alcanzar sus metas y objetivos de
seguridad de la información
• Demasiadas medidas pueden distorsionar
el enfoque de una organización y
desenfocar lo que es verdaderamente
importante
84
85. Monitoreo
Objetivos de la Medición
Los objetivos de la medición en el marco de un sistema de
gestión incluyen:
• Evaluación de la eficacia de los procesos y procedimientos
implementados;
• Verificación de la medida en que los requisitos identificados
de la norma se han cumplido.
• Facilitar la mejora del rendimiento;
• Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestión implementado.
85
87. Gestión de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados
e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podrían causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma más adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organización.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organización.
87
89. • Auditar internamente el SGSI
• Implementar las acciones correctivas
• Implementar las acciones preventivas pertinentes
• Desarrollar, corregir y mejorar documentación nueva
o existente
89
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma
90. Auditoria Interna
1. Crear el programa de auditoría interna
2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificación de las actividades
5. Asignar y administrar los recursos del programa de auditoría
6. Crear procedimientos de auditoría
7. Realizar actividades de auditoría
8. Seguimiento de no conformidades
90
91. Tratamiento de Problemas y
no Conformidades
• Definir un proceso para resolver problemas y no
conformidades.
• Definir un procedimiento de acción correctiva.
• Definir un procedimiento de acción preventiva.
• Elaborar Planes de Acción.
91
93. Definiciones de la Certificación
• Organismo de Certificación: Terceros que realizan la
evaluación de la conformidad de los sistemas de
gestión.
• Certificación: Procedimiento en el cual un tercero
garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas
93
94. Proceso de Certificación
1. Selección de la entidad certificadora.
2. Auditoria de Pre-evaluación.
3. Etapa 1 de la auditoria, se fija en el diseño del SGSI
4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.
5. Auditoria de seguimiento, si tuviera no conformidades
6. Confirmación de la inscripción.
94