2 presentación iso 27001_comite de seguridad (2)
DESCRIPTION
como una cooperativa de ahorro y crédito implemento ISO 27001TRANSCRIPT
Capacitación del Sistema deCapacitación del Sistema de Gestión IntegralGestión IntegralPresentación para el Comité de SeguridadNorma ISO 27001:2005Norma ISO 27001:2005
Febrero 2010
¿Qué es el activo de Información?¿Qué es el activo de Información?
Activo de Información es todo lo queActivo de Información, es todo lo que manipula directa o indirectamente una información, que tiene como valor el lograr el cumplimiento de losvalor, el lograr el cumplimiento de los objetivos estratégicos de la Organización, incluso la propia i f ió d dinformación dentro de una organización, por lo que debe protegerse contra amenazas para que el negocio funcione correctamente.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
La SEGURIDAD se planifica, controla y mejoraLa SEGURIDAD se planifica, controla y mejora
“Esta norma internacional especifica los requisitos paraestablecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro
del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación g p f q p p
de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las
mismas”mismas
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Certificación del SGSI• La certificación no implica que la organización a
b id d i d i l d id d d l
Ce t cac ó de SGS
obtenido determinado niveles de seguridad de lainformación para sus productos y/o servicios.
• Las organizaciones certificadas pueden tener mayorLas organizaciones certificadas pueden tener mayorconfianza es su capacidad para gestionar la seguridadde la información, y por ende ayudara a asegurar a sus
i li t i i t i hsocios, clientes, y accionistas con quien hacennegocios.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Tópicos a Tratar
II. Riesgos y Controles
I. SGSI III. Actividades para la certificación
2.1 Introducción
2.2 Administración de riesgos
Controles
1.1 Metodología del SGSI
1 2 Modelo de SGSI
3.1 Introducción
3.2 Proceso de Certificación
3 3 Pasos a Seguir
certificación
de riesgos
2.3 Revisión de Controles
1.4 Conclusiones
1.2 Modelo de SGSI
1.3 Documentación del SGI
1.4 Funciones y
3.3 Pasos a Seguir
3.4 Actividades de la empresa certificadora
3.5 Actividades posteriores
3 6 Mantención y mejoraresponsabilidades en el SGI
3.6 Mantención y mejora
3.7 Tópicos de evaluación
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología 1.1 Metodología
del SGSI ¿Cómo establecer los requisitos?del SGSI
1.2 Modelo del
del SGSI
• Es esencial que la Organización identifique sus requisitosde seguridad
q
SGSI
1.3 D t ió
de seguridad.
• Existen tres fuentes principales.Documentación del SGI
1 4 Funciones y
p p
• La primer fuente procede de la valoración de los riesgosd l O i ió C ll1.4 Funciones y
responsabilidades del SGI
de la Organización. Con ella:‐ Se identifican las amenazas a los activos,‐ Se evalúa la vulnerabilidad y la probabilidad de suSe evalúa la vulnerabilidad y la probabilidad de su
ocurrencia.‐ Se estima su posible impacto.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
¿Cómo establecer los requisitos?1.1 Metodología 1.1 Metodología
del SGSI q• La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe
del SGSI
1.2 Modelo del
del SGSI
estatutarios, regulatorios y contractuales que debesatisfacer:
‐ la Organización,
SGSI
1.3 D t ió
‐ sus socios comerciales,
‐ los contratistas
Documentación del SGI
1 4 Funciones y‐ los proveedores de servicios.
L f á f d l i i i
1.4 Funciones y responsabilidades del SGI
• La tercera fuente está formada por los principios,objetivos y requisitos que la Organización ha desarrolladopara apoyar sus operaciones.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
p p y p
SGSI1.1 Metodología 1.1 Metodología
del SGSI
• El sistema de gestión de la seguridad de la información(SGSI) es la parte del sistema de gestión de la empresa
SGSIdel SGSI
1.2 Modelo del
del SGSI
(SGSI) es la parte del sistema de gestión de la empresa,basado en un enfoque de riesgos del negocio, para:– Establecer,
SGSI
1.3 D t ió
– Implementar,– Operar,
M i
Documentación del SGI
1 4 Funciones y – Monitorear,– Mantener y mejorar la seguridad de la información.
1.4 Funciones y responsabilidades del SGI
• Incluye.– Estructura, políticas, actividades, responsabilidades,
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
prácticas, procedimientos, procesos y recueros.
(Planificar /Hacer /Verificar /Actuar)1.1 Metodología 1.1 Metodología
del SGSIdel SGSI
1.2 Modelo del
del SGSI
SGSI
1.3 D t ióDocumentación del SGI
1 4 Funciones y1.4 Funciones y responsabilidades del SGI
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
(Planificar /Hacer /Verificar /Actuar)1.1 Metodología 1.1 Metodología
del SGSIdel SGSI
1.2 Modelo del
del SGSI
SGSI
1.3 D t ióDocumentación del SGI
1 4 Funciones y1.4 Funciones y responsabilidades del SGI
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Establecer el SGSI (Plan)1.1 Metodología 1.1 Metodología
del SGSI
• Establecer la política de seguridad, objetivos, metas, procesos y
Establecer el SGSI (Plan)del SGSI
1.2 Modelo del
del SGSI
p g , j , , p yprocedimientos relevantes para manejar riesgos y mejorar laseguridad de la información para generar resultados de acuerdocon una política y objetivos marco de la organización.
SGSI
1.3 D t ió
• Definir el alcance del SGSI a la luz de la organización.
Documentación del SGI
1 4 Funciones y
• Definir la Política de Seguridad.
1.4 Funciones y responsabilidades del SGI
• Aplicar un enfoque sistémico para evaluar el riesgo.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
– No se establece una metodología a seguir.
Establecer el SGSI (Plan)1.1 Metodología 1.1 Metodología
del SGSI Establecer el SGSI (Plan)del SGSI
1.2 Modelo del
del SGSI
• Identificar y evaluar opciones para tratar el riesgo
– Mitigar, eliminar, transferir, aceptar
SGSI
1.3 D t ió
• Seleccionar objetivos de Control y controles a implementar (Mitigar).
Documentación del SGI
1 4 Funciones y (Mitigar).
– A partir de los controles definidos por la ISO/IEC 270021.4 Funciones y responsabilidades del SGI
• Establecer enunciado de aplicabilidad
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Implementar y operar (Do)1.1 Metodología 1.1 Metodología
del SGSI
• Implementar y operar la política de seguridad, controles,procesos y procedimientos
p y p ( )del SGSI
1.2 Modelo del
del SGSI
procesos y procedimientos.
• Implementar plan de tratamiento de riesgos.
SGSI
1.3 D t ió
– Transferir, eliminar, aceptar
l l l l d
Documentación del SGI
1 4 Funciones y • Implementar los controles seleccionados.
– Mitigar
1.4 Funciones y responsabilidades del SGI
• Aceptar riesgo residual.
– Firma de la alta dirección para riesgos que superan el
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
nivel definido.
Implementar y operar (Do)1.1 Metodología 1.1 Metodología
del SGSI
I l t did l l fi i d l t l
Implementar y operar (Do)del SGSI
1.2 Modelo del
del SGSI
• Implementar medidas para evaluar la eficacia de los controles
• Gestionar operaciones y recursos.
SGSI
1.3 D t ió Gestionar operaciones y recursos.
• Implementar programas de Capacitación y concientización.
Documentación del SGI
1 4 Funciones y
• Implementar procedimientos y controles de detección yrespuesta a incidentes
1.4 Funciones y responsabilidades del SGI
respuesta a incidentes.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Monitoreo y Revisión (Check)1.1 Metodología 1.1 Metodología
del SGSI
• Evaluar y medir la performance de los procesos contra la políticade seguridad, los objetivos y experiencia practica y reportar los
y ( )del SGSI
1.2 Modelo del
del SGSI
resultados a la dirección para su revisión.
– Revisar el nivel de riesgo residual aceptable, considerando:
SGSI
1.3 D t ió Revisar el nivel de riesgo residual aceptable, considerando:
• Cambios en la organización.• Cambios en la tecnologías.C bi l bj i d l i
Documentación del SGI
1 4 Funciones y • Cambios en los objetivos del negocio.• Cambios en las amenazas.• Cambios en las condiciones externas (ej. Regulaciones,
1.4 Funciones y responsabilidades del SGI
( j g ,leyes).
– Realizar auditorias internas
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Realizar auditorias internas.– Realizar revisiones por parte de la dirección del SGSI.
Monitoreo y Revisión (Check)1.1 Metodología 1.1 Metodología
del SGSI
• Se debe establecer y ejecutar procedimientos de monitoreo para:
Monitoreo y Revisión (Check)del SGSI
1.2 Modelo del
del SGSI
• Detectar errores.• Identificar ataques a la seguridad fallidos y exitosos.• Brindar a la gerencia indicadores para determinar la
SGSI
1.3 D t ió • Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos de seguridad.
• Determinar las acciones realizadas para resolver
Documentación del SGI
1 4 Funciones y • Determinar las acciones realizadas para resolver brechas a la seguridad.
1.4 Funciones y responsabilidades del SGI
• Mantener registros de las acciones y eventos que pueden impactar al SGSI.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
• Realizar revisiones regulares a la eficiencia del SGSI.
Mantenimiento y mejora del SGSI1.1 Metodología 1.1 Metodología
del SGSI
• Tomar acciones correctivas y preventivas, basadas en losresultados de la revisión de la dirección para lograr la mejora
y jdel SGSI
1.2 Modelo del
del SGSI
resultados de la revisión de la dirección, para lograr la mejoracontinua del SGSI.
SGSI
1.3 D t ió – Medir el desempeño del SGSI.
– Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el ciclo en
Documentación del SGI
1 4 Funciones y – Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).
1.4 Funciones y responsabilidades del SGI
– Comunicar los resultados y las acciones a emprender, yconsultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
– Revisar el SGSI donde sea necesario implementando lasacciones seleccionadas.
Requisitos de Certificación del SGSI1.1 Metodología 1.1 Metodología
del SGSI
La norma establece requisitos para Establecer, Implementar yDocumentar un SGSI.
del SGSI
1.2 Modelo del
del SGSI
– Definir el alcance del SGSI (fronteras)
SGSI
1.3 D t ió – Definir una política de seguridad
– Identificar activos
Realizar el análisis de riesgos de activos
Documentación del SGI
1 4 Funciones y – Realizar el análisis de riesgos de activos.
– Identificar las áreas débiles de los activo
– Tomar decisiones para manejar el riesgo
1.4 Funciones y responsabilidades del SGI
p j g
– Seleccionar los controles apropiados
– Implementar y manejar los controles seleccionados
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
– Elaborar la declaración de aplicabilidad
Objetivos de auditoría1.1 Metodología 1.1 Metodología
del SGSI
• Para obtener la certificación.
Objetivos de auditoríadel SGSI
1.2 Modelo del
del SGSI
• Revisar conformidad con la norma (ISO/IEC 27001)
• Revisar grado de puesta en práctica del sistema
SGSI
1.3 D t ió • Revisar la eficacia y adecuación en el cumplimiento de:
– Política de seguridad
– Objetivos de seguridad
Documentación del SGI
1 4 Funciones y – Objetivos de seguridad
• Identificar las fallas y debilidades en la seguridad
1.4 Funciones y responsabilidades del SGI
• Proporcionar una oportunidad para mejorar el SGSI
• Cumplir requisitos contractuales.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
• Cumplir requisitos regulatorios.
1.1 Metodología 1.1 Metodología
del SGSICompañía a decidido
la implementaciónAsignación de
responsabilidadesDefinición de la política
de seguridadDocumento de
Política de SeguridadIniciodel SGSI
1.2 Modelo del
del SGSI la implementación ISO 27001
responsabilidades del proyecto
de seguridad de la Información
Política de Seguridad
Definición del alcance del Sistema de Gestión
d S id d d l
identificar las principales
amenazas, riesgos,Identificar el alcance
del SGSI para losDocumento de
análisis de riesgosSGSI
1.3 D t ió
de Seguridad de la Información (SGSI)
amenazas, riesgos, impactos
y vulnerabilidades
del SGSI para los riesgos y amenazas
análisis de riesgos
Definir la forma de gestionar los riesgos
Documento de responsabilidades
Enfoque de la Empresa para la
Ad i i t ióENDocumentación del SGI
1 4 Funciones y
gestionar los riesgosidentificados
responsabilidadesAdministración del Riesgo
Seleccionar los objetivos y controles
Controles de la guía ISO 17799
t t l
Documento dedeclaración SU
ME
1.4 Funciones y responsabilidades del SGI
objet os y co t o esa ser implementadosy otros controles no
considerados en estade aplicabilidad (SOA)
Implementación d t l
Listo para la Aprobación
SI
RES
de controles certificación Aprobación Certificación concedida
Tomar medidas NO
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Tomar medidas correctivas
1.1 Metodología
OB
S
del SGSI
1.2 Modelo del 1.2 Modelo del
SERVA
C
SGSI
1.3 D t ió
1.2 Modelo del SGSI
CIÓ
N (A
U
Documentación del SGI
1 4 Funciones y
UD
ITOR
IA
1.4 Funciones y responsabilidades del SGI
A, M
ON
ITOR
EO)
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
)
1.1 Metodología del SGSI
1.2 Modelo del SGSI
1.3 D t ió1.3 Documentación
d l SGIDocumentación del SGI
1 4 Funciones y
del SGI
1.4 Funciones y responsabilidades del SGI
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología del SGSI
1.2 Modelo del SGSI
1.3 D t ió1.3 Documentación
d l SGIDocumentación del SGI
1 4 Funciones y
del SGI
1.4 Funciones y responsabilidades del SGI
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología Manual de seguridad: Sería la documentación que inspira y dirige todo el del SGSI
1.2 Modelo del
sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales del SGI.
SGSI
1.3 D t ió1.3 Documentación
d l SGI
Procedimientos: Documentos en el nivel operativo, que asegura que se
realicen de forma eficaz la planificación, operación y control de los
procesos de seguridad de la informaciónDocumentación del SGI
1 4 Funciones y
del SGI procesos de seguridad de la información.
Instrucciones, checklists y formularios: Documentos que describen
cómo se realizan las tareas y las actividades específicas relacionadas con 1.4 Funciones y responsabilidades del SGI
y p
la seguridad de la información.
Registros: Documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGI; están asociados a documentos de
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
indicado en los mismos.
1.1 Metodología Política de seguridad Objetivos de Control
del SGSI
1.2 Modelo del Procedimientos Descripciones de cargoSGSI
1.3 D t ió1.3 Documentación
d l SGI M l d l SGSI Q tDocumentación del SGI
1 4 Funciones y
del SGI Manual del SGSI
¿Para qué sirven los documentos?
documentos?Que otros documentos?
1.4 Funciones y responsabilidades del SGI
Para proveer formas correctas y completas de cómo ejecutar el trabajo y mantener altos nivelesde calidad. A su vez, para asegurar que las tareas claves se ejecuten en forma consistente, aúncuando el personal que normalmente las ejecuta está ausente.
Mejorar la comunicación dentro y entre las distintas áreas.j y
Ayudar en la capacitación y entrenamiento de las personas.
¿Qué tengo que hacer si observo un problema?.Ante cualquier problema que detecte en la implementación del Sistema las personas deben
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Ante cualquier problema que detecte en la implementación del Sistema, las personas debencomunicar de la situación a su Jefe Directo.
1.1 Metodología Políticas, Normas, Procedimientos de S id ddel SGSI
1.2 Modelo del
Seguridad.Todo intento por formalizar cualquier tarea o aspecto relacionado con la
id d d l i f ió d b t t í i d d tSGSI
1.3 D t ió1.3 Documentación
d l SGI
seguridad de la información, debe tratar como mínimo de responder a tres preguntas:
• Qué: Objetivo, requisito o regulación que se quiere satisfacer o cumplir (L h l )Documentación
del SGI
1 4 Funciones y
del SGI (Lo que hay que lograr).
• Quién: Responsable de la tarea o encargado de que se cumpla (El encargado de hacerlo posible).
1.4 Funciones y responsabilidades del SGI
• Cómo: Descripción de las actividades que darán con la consecución del objetivo o requisito (Lo que haya que hacer para conseguirlo).
L d t l b f li l id d t tLos documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología Políticas de Seguridaddel SGSI
1.2 Modelo del
g• Deben establecer las necesidades y requisitos de protección en el
ámbito de la organización.SGSI
1.3 D t ió1.3 Documentación
d l SGI
• Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos.
• Definen qué quiere la organización a muy alto nivel, de forma muy Documentación del SGI
1 4 Funciones y
del SGIq q g y , y
genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización.
• Una política de seguridad puede apoyarse en documentos de menor 1.4 Funciones y responsabilidades del SGI
p g p p yrango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos.
• Ellos son: Procedimientos de Seguridad, instrucciones técnicas de gtrabajo, normas, estándares.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología Procedimientos de Seguridaddel SGSI
1.2 Modelo del
Procedimientos de Seguridad
• Determina las acciones o tareas a realizar en el desempeño de unSGSI
1.3 D t ió1.3 Documentación
d l SGI
Determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución.
Documentación del SGI
1 4 Funciones y
del SGI
• La especificación de una serie de pasos en relación a la ejecución de una actividad que trata de cumplir con una norma establecida.
1.4 Funciones y responsabilidades del SGI
• Un procedimiento alineado a las buenas prácticas, garantiza que en la ejecución de actividades se considerarán determinados aspectos d id dde seguridad.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología Instrucciones técnicas de Seguridaddel SGSI
1.2 Modelo del
g
• Determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto (HardwareSGSI
1.3 D t ió1.3 Documentación
d l SGI
actividad o proceso de un procedimiento concreto. (Hardware, Sistema Operativo, Aplicación, Datos, Usuarios).
Documentación del SGI
1 4 Funciones y
del SGI • Son la especificación pormenorizada de los pasos a ejecutar.
• Deben documentarse los aspectos técnicos necesarios para que1.4 Funciones y responsabilidades del SGI
• Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología
Procedimiento Control de Registrosdel SGSI
1.2 Modelo del Todas las personas de la empresa, que sean asignadas para administrar ymantener registros. Cuando se pone en marcha el procedimiento, El
Quienes Participan
SGSI
1.3 D t ió1.3 Documentación
d l SGI
g p p ,Representante de Gerencia definen a los responsables.
De que se trataDocumentación del SGI
1 4 Funciones y
del SGI El Encargado de Documentación mantiene un Listado de Registros, que indicatodos los controles que estos reciben y además, el responsable de los controlesindicados.
1.4 Funciones y responsabilidades del SGI
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio y su usopermite poder recuperar un registro e ir eliminando registros muy antiguos
Porqué es necesario
permite poder recuperar un registro e ir eliminando registros muy antiguos.
Que registros se generan
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
El Encargado de Documentación genera el Listado de Registros, que contienetodos los registros de los diferentes documentos y procesos del Sistema.
1.1 Metodología
Procedimiento Acciones Correctivas y Preventivas
del SGSI
1.2 Modelo del
Todas las personas de la empresa en la detección de no conformidades. Losauditores en detección de no conformidades en auditorias. Responsables de lasáreas en la definición de acciones correctivas. Jefe de Auditoria Interna en la
Quienes Participan
SGSI
1.3 D t ió1.3 Documentación
d l SGI
yáreas en la definición de acciones correctivas. Jefe de Auditoria Interna en laverificación y cierre.
Hay que definir acciones para todas las no conformidades detectadas en la
De que se trata
Documentación del SGI
1 4 Funciones y
del SGI Hay que definir acciones para todas las no conformidades detectadas en laoperación de la empresa. Las acciones deben atacar el problema de fondo. Sicualquier persona la detecta, debe notificar a su Jefe directo .
Porqué es necesario1.4 Funciones y responsabilidades del SGI
Porqué es necesario
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio para quese tomen acciones a los problemas detectados, y acciones preventivas a losproblemas potenciales, que ataquen la causa de los problemas, eliminándolos de
í
Que registros se generan
S li it d d A ió C ti /P ti ti l f id d l
raíz.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Solicitudes de Acción Correctiva/Preventiva, que contiene la no conformidad, elanálisis de causa y la acción definida.
1.1 Metodología
Procedimiento de Gestión de Reclamos de Clientes
Quienes Participandel SGSI
1.2 Modelo del
- Gerencia General- Jefe de Informática- Jefe de Auditoria Interna
Quienes Participan
SGSI
1.3 D t ió1.3 Documentación
d l SGI
La persona que recibe un reclamo debe responder al cliente y registra el reclamoy la acción tomada. También, define si el reclamo fue a partir de una falla interna
De que se trata
Documentación del SGI
1 4 Funciones y
del SGIy , py si es así, informa de una No Conformidad.El Gerente General es informado de los reclamos por fallas graves en losservicios.
Porqué es necesario1.4 Funciones y responsabilidades del SGI
Porqué es necesario
Se establece para que la empresa tenga la retroalimentación del cliente y puedantomar acciones (correctivas/preventivas). Con lo cual se va mejorando. La normapide que se registren las acciones tomadas a partir de los reclamos.
Que registros se generan
Reclamos de Clientes Informe No Conformidades Acciones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Reclamos de Clientes, Informe No Conformidades, AccionesCorrectivas/Preventivas.
1.1 Metodología Responsables de los procedimientos del Procesodel SGSI
1.2 Modelo del
p p
Todos los responsables asociados al proceso de negocio sujeto al cambio
Quienes Participan
SGSI
1.3 D t ió1.3 Documentación
d l SGI
Todos los responsables asociados al proceso de negocio sujeto al cambio.
De que se trataDocumentación del SGI
1 4 Funciones y
del SGI- Estar en conocimiento de los cambios que impulse la administración.- Conocer y aplicar los procedimientos del SGI establecidos.- Informar situaciones que deben ser corregidas como parte del sistema decalidad.- Resguardar adecuadamente los documentos y registros asociados a las1.4 Funciones y
responsabilidades del SGI
- Resguardar adecuadamente los documentos y registros asociados a lasactividades desarrolladas cotidianamente.
Porqué es necesario
La Norma ISO 27001:2005 lo establece como parte de la práctica de losresponsabilidades de los integrantes del proceso de negocios.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología
Procedimiento Revisión Gerencial
Quienes Participandel SGSI
1.2 Modelo del
Representante del Directorio, Gerente General, Jefe de Informática, Jefe deAuditoria Interna, Encargado documental, Jefes de áreas invitados y las personasque ellos determinen que deben asistir.
Quienes Participan
SGSI
1.3 D t ió1.3 Documentación
d l SGI
Realizar revisiones al SGI una vez anual como mínimo, o las veces que seannecesarias en función a la definición de la Gerencia General. El Jefe de Auditoria
De que se trata
Documentación del SGI
1 4 Funciones y
del SGI Interna prepara la información a utilizar en la reunión. Cada invitado debe llevar lainformación que le sea solicitada. Los acuerdos se registran en un acta. En cadareunión se revisa el cumplimiento de los acuerdos.
1.4 Funciones y responsabilidades del SGI
Porqué es necesario
Porque de esta forma la Gerencia se involucra en la revisión de que lo que estápasando y además puede asignar recursos o solicitar acciones, con lo cual sei i i l d j Si t d l h bl d j ti
Que registros se generan
inicia el proceso de mejora. Si todo se cumple, hablamos de mejora continua.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Acta de Revisión Gerencial, con acuerdos tomados.
1.1 Metodología
Procedimiento Auditorias Internas
Quienes Participandel SGSI
1.2 Modelo del
Un equipo de auditores internos o externos. Todas las personas comoauditados .
Quienes Participan
SGSI
1.3 D t ió
El equipo de auditores ejecuta revisiones de cumplimiento de los requisitosnormativos y de los procedimientos, chequeando que se usen los registros.
De que se trata
1.3 Documentación d l SGIDocumentación
del SGI
1 4 Funciones y
Porqué es necesario
del SGI
1.4 Funciones y responsabilidades del SGI
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio paraque se realicen estas revisiones en forma sistemática (planificada) y se tomenacciones que ataquen la causa de los problemas, eliminándolos de raíz.
Que registros se generan
Lista de verificación que ocupan los auditores, registros de no conformidades,que además sirve para registrar el análisis de causa y las acciones definidas y
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
que además sirve para registrar el análisis de causa y las acciones definidas yel informe de la auditoria.
1.1 Metodología del SGSI
1.2 Modelo del SGSI
1.3 D t ióDocumentación del SGI
1 4 Funciones y1.4 Funciones y responsabilidades del SGI
1.4 Funciones y responsabilidades
del SGI
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
1.1 Metodología Comité de Comité de Auditoríadel SGSI
1.2 Modelo del
SeguridadComité de Auditoría
SGSI
1.3 D t ió
Auditoria Interna
Documentación del SGI
1 4 Funciones y
Oficial de Seguridad de la Información
1.4 Funciones y responsabilidades del SGI
1.4 Funciones y responsabilidades
del SGIJefe de Informática
Jefe de Normas
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Tópicos a Tratar
I. SGSI II.Riesgos y Controles III. Actividades para la certificación
1.1 Presentación de las actividades de la metodología
2.1 Introducción
2.2 Administración de
3.1 Introducción
3.2 Proceso de Certificación
3 3 Pasos a Seguir
certificación
metodología
1.2 Presentar Modelo de SGSI
1.3 Documentación del SGI
riesgos
2.3 Revisión de controles
2 4 C l i
3.3 Pasos a Seguir
3.4 Actividades de la empresa certificadora
3.5 Actividades posteriores
3 6 Mantención y mejora1.4 Funciones y
responsabilidades en el SGI
2.4 Conclusiones 3.6 Mantención y mejora
3.7 Tópicos de evaluación
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción2.1 IntroducciónBENEFICIOS DE LA ADMIMINISTRACIÓN DE RIESGOS
2.2 Administración de riesgos
2.1 Introducción
• Proteger la reputación corporativa
• Tomar mejores decisiones basadas en la evaluación de riesgos
Consideraciones de Costo / Beneficio
2.3 Revisión de Controles
Mejorar la asignación de recursos
• Reducir la volatilidad y validar las iniciativas en la Reingeniería de Procesos
Incluir los procesos críticos en el control corporativo y estabilizarlos
2.4 Conclusiones
Reducir la posibilidad de impactos en desempeño financiero, aumento de costos y crecimiento por análisis estratégicos y de procesos ineficientes
• Operar dentro de un marco aceptable de apetito al riesgo
Estabilizar la operaciónEstabilizar la operación
Maximizar las ventajas sobre las oportunidades de riesgos
Enfocarse en la administración de riesgos para generar mejores resultados
• Anticipar nuevos riesgos y oportunidades que resultan a raíz de cambios en la industria el • Anticipar nuevos riesgos y oportunidades que resultan a raíz de cambios en la industria, el mercado, globalización etc...
La existencia de éstos puede encubrirse por un deficiente análisis estratégico y de procesos
U l i ti i d t l d d t i d t
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Un solo riesgo, no anticipado y controlado, puede tener consecuencias desastrosas
• Cultura de riesgos
2.1 Introducción2.1 IntroducciónVISIÓN DE LA ADMINISTRACIÓN DE RIESGOS
2.2 Administración de riesgos
2.1 Introducción
Estratégica
3
2.3 Revisión de Controles
Proactiva Dirección y comité de riesgos Los riesgos son manejados y evaluados para toda la organizaciónUtilización de un lenguaje común y acercamiento al manejo de los riesgos
2
2.4 ConclusionesTáctico
Soporte de la Dirección y la gerencia
j gAnálisis del portafolio de riesgos en un tiempo realOptimización y reporteo de los riesgos
1
ReactivoLa gerencia no hacen énfasis en la
Soporte de la Dirección y la gerencia Periódico perfil de riesgoReconocimiento de las amplias necesidades de la empresa en la administración de riesgos
La gerencia no hacen énfasis en la administración de riesgosAdministración de riesgos manejada únicamente en silosCobertura incompleta
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
No hay un acercamiento en el manejo de riesgos así como su lenguaje
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
Entendimiento del proceso de la compañía y su dependencia de los sistemas.Identificación de observaciones y recomendaciones para mejora del desempeñoValidar las mejoras al desempeño
2.3 Revisión de Controles
j p
Identificación y evaluación de riesgos de procesosIdentificación y evaluación de controles por los riesgos identificadosCategorización de riesgos y controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
¿Ri ?2.1 Introducción ¿Riesgos? 2.2 Administración de riesgos2.2 Administración
de Riesgos
• Pero si nunca pasa nada!!.– Esto no real.2.3 Revisión de
Controles
– Lo que sucede es que hoy sabemos muypoco
2.4 Conclusiones
poco.
• La empresa necesita contar con informaciónLa empresa necesita contar con informaciónsobre la cual tomar decisiones a los efectos deestablecer controles necesarios y eficaces.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Amenazas2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Más Amenazas !!2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Vulnerabilidades Comunes2.1 Introducción
• Inadecuado compromiso de la dirección.
Vulnerabilidades Comunes2.2 Administración de riesgos2.2 Administración
de Riesgos adecuado co p o so de a d ecc ó• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.2.3 Revisión de
Controles
• Ausencia de políticas/ procedimientos.• Ausencia de controles2.4 Conclusiones
– (físicos/lógicos)– (preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Inadecuado seguimiento y monitoreo de los controles.
2.1 Introducción
2.2 Administración de riesgos2.2 Administración
de Riesgos++ -
2.3 Revisión de Controles
Plan de
Mejora y Ejecución del
Plan
Plan de Mejora / Plan de
Auditoría
Evaluación de
Riesgos
Análisis Estratégico
Análisis de Procesos
de Negocio
Evaluación de
Controles
Riesgo Residual
2.4 Conclusiones
StatusRiesgos E t té iFuerzas Procesos
DiApetito de
Riesgo Status, Reportes, Planes de
Mejora
Actualizacion
Planes detallados
PriorizaciónReportes
Estratégicos y de Procesos
Perfil de RiesgoProbabilidad e
Importancia
ExternasObjetivos del
Cliente Administrativ
a
ocesosEstratégicos
Procesos Básicos
Procesos de Apoyo
Diseño
Efectividad
Balance
Riesgo
Evaluación con la
gerencia
Clasificación Final
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
2.1 Introducción REVISIÓN DE LAS DUDAS DEL SOA
2.2 Administración de riesgos
REVISIÓN DE LAS DUDAS DEL SOA
2.3 Revisión de Controles
2.3 Revisión de Controles
2.4 Conclusiones
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
C l2.1 Introducción
R t l i I id t t d bilid d t
Comencemos el proceso2.2 Administración de riesgos
• Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)
2.3 Revisión de Controles g , )
• No divulgue información sensible.2.4 Conclusiones2.4 Conclusiones
• Destruya adecuadamente la información sensible.
• Siga los lineamientos, políticas y procedimientos que se le distribuirán.
H t
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
• Haga preguntas.
• Mantenga su contraseña confidencial.2.1 Introducción
• Sea consiente de los riesgos que están asociados a una 2.2 Administración de riesgos
acción o recurso.
L did i l t d ti ti2.3 Revisión de Controles
• Las medidas implementadas tienen un motivo.
– Lo no prohibido NO esta expresamente itid
2.4 Conclusiones2.4 Conclusiones
permitido.
•• Nuestra seguridad depende de usted.Nuestra seguridad depende de usted.
•• La obtención de la certificación La obtención de la certificación tambiéntambién
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
también.también.
III. CertificaciónII. Riesgos y ControlesI. SGSI
3.1 Proceso de Certificación
2.1 Introducción
2.2 Administración de riesgos
2.3 Revisión de
1.1 Presentación de las actividades de la metodología
1 2 P t3.2 Pasos a Seguir
3.3 Actividades de la Empresa certificadora
Controles
1.4 Conclusiones
1.2 Presentar Modelo de SGSI
1.3 Documentación del SGI
1.4 Funciones y p
3.4 Actividades posteriores
3.5 Mantención y mejora
yresponsabilidades en el SGI
3.6 Tópicos de evaluación
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Proceso para obtener una certificación
3.1 Proceso de certificación
3.2 Pasos a
3.1 Proceso de Certificación
SOLICITUD DE INFORMACIÓN
Organismo de CertificaciónSeguir
3.3 Actividades de la empresa certificadora
Organismo de CertificaciónESTUDIO DE LA DOCUMENTACIÓN
Entidad de Inspeccióncertificadora
3.4 Actividades posteriores
VISITA A LAS INSTALACIONES Y TOMA DE MUESTRAS
Revisión de las evidencias /controles / RiesgosVALIDACIÓN DE LA EVIDENCIA
3.5 Mantención y mejora
3.6 Tópicos de
Organismo de CertificaciónEVALUACIÓN DE LOS RESULTADOS
RESPECTO A LA NORMA DE pevaluación
RESPECTO A LA NORMA DE ESPECIFICACIÓN TÉCNICA No Conforme
Conforme
CONCESIÓN DEL CERTIFICADO
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
CONCESIÓN DEL CERTIFICADO
Pasos a seguir hasta la certificación
3.1 Proceso de certificación
3.2 Pasos a 3.2 Pasos a Seguir
1. Documentar y validar los procesos (operativos, transversales, Estratégicos, Apoyo).
Seguir
3.3 Actividades de la empresa certificadora
3.2 Pasos a Seguir
2. Validar la operatividad del SGI en AHORROCOOP a través de métricas.
3. Realizar auditorías internas del SGI e implementar un plan de mejoramiento.certificadora
3.4 Actividades posteriores
4. Entender los riesgos que administran los usuarios en función de los activos de
información (Ej : Rotulación protectores de pantalla políticas etc )3.5 Mantención y mejora
3.6 Tópicos de
información (Ej.: Rotulación, protectores de pantalla, políticas, etc.)
5. El proyecto requerirá del compromiso y el esfuerzo de todos para lograr la meta dep
evaluación certificación.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Actividades que desarrolla la empresa certificadora
3.1 Proceso de certificación
3.2 Pasos a Seguir
3.3 Actividades de la empresa certificadora
3.3 Actividades de la empresa certificadora
Proceso de Certificación Duración certificadora
3.4 Actividades posteriores
certificadora
Solicitud
Estudio de la Documentación2
1
10 días
1 día
3.5 Mantención y mejora
3.6 Tópicos de
Estudio de la Documentación
Auditoría de Certificación in Situ
2
3
0 d as
2 díasp
evaluación
Certificación4 30 días
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
TOTAL43 días app.
Actividades posteriores a la certificación de3.1 Proceso de certificación
3.2 Pasos a
Actividades posteriores a la certificación de AHORROCOOP para el área de Informática.
Seguir
3.3 Actividades de la empresa certificadora
- Visitas de vigilancia de la certificación – semestrales / anuales.
- Programa de visitas durante un período de 3 años.certificadora
3.4 Actividades posteriores
3.4 Actividades posteriores
g p
- Re certificación por un nuevo período.
3.5 Mantención y mejora
3.6 Tópicos de
- Actualización del sistema en la medida que se actualice las
normativas (ISO 9001/ ISO 27001).pevaluación
( )
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
Mantención y mejora en el tiempo del SGI3.1 Proceso de certificación
3.2 Pasos a - Asegurar que el sistema de gestión integral (SGI) se mantenga y mejore
Las áreas (PERSONAL DE AHORROCOOP) deben ser responsables de:
Seguir
3.3 Actividades de la empresa certificadora
Asegurar que el sistema de gestión integral (SGI) se mantenga y mejore
en el tiempo (Como ?).
- Mantener operativos todos los procesos/ Procedimientos/ Evidencias delcertificadora
3.4 Actividades posteriores
Mantener operativos todos los procesos/ Procedimientos/ Evidencias del
sistema de gestión de Integral (SGI).
- Mejorar a partir de los resultados obtenidos3.5 Mantención y mejora
3.6 Tópicos de
3.5 Mantención y mejora
Mejorar a partir de los resultados obtenidos.
- Entender y comunicar los cambios de negocios y sus respectivos riesgos
asociadospevaluación
asociados.
- Determinar la necesidad de cambios a nivel de las políticas
(calidad/seguridad), Objetivos (calidad/seguridad) y la planificación del
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
(calidad/seguridad), Objetivos (calidad/seguridad) y la planificación del
sistema en general.
¿ Cómo es la AUDITORIA DE CERTIFICACION ?
3.1 Proceso de certificación
3.2 Pasos a
• Entrevista a usuarios finales por un tiempo de 1 hora de duración
aproximadamente
CERTIFICACION ?
Seguir
3.3 Actividades de la empresa certificadora
• En la entrevista el AUDITOR busca:
Entender para que sirve el SGI /Cual es su propósito?certificadora
3.4 Actividades posteriores
– Entender para que sirve el SGI /Cual es su propósito?
– Que le indiquemos de cuales son nuestras responsabilidades frente a
los objetivos de seguridad3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
los objetivos de seguridad.
– Que ocurre en el caso de la existencia de una incidencia de seguridad,
como se administra como se comunica y como se cierrapevaluación
3.6 Tópicos de evaluación
como se administra, como se comunica y como se cierra.
– Conocer la existencia de incidentes de seguridad que hayan ocurridos,
ya que posteriormente efectúa controles cruzados
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
ya que posteriormente efectúa controles cruzados
¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)
3.1 Proceso de certificación
3.2 Pasos a
• En la entrevista el AUDITOR evalúa: (… continuación)
Que tengamos evidencia que demuestre que hacemos lo queSeguir
3.3 Actividades de la empresa certificadora
– Que tengamos evidencia que demuestre que hacemos lo que
decimos en los procedimientos.
La evidencia debe corresponder a lo indicado en los flujos y encertificadora
3.4 Actividades posteriores
– La evidencia debe corresponder a lo indicado en los flujos y en
los procedimientos, si corresponde.
En todos los casos la evidencia corresponde a un registro y por3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
– En todos los casos, la evidencia corresponde a un registro y por
lo tanto debe estar controlado.
– El CONTROL DE REGISTROS queda en evidencia desde elpevaluación
3.6 Tópicos de evaluación
– El CONTROL DE REGISTROS queda en evidencia desde el
momento en que nos piden un registro y podemos: ubicarlo,
acceder rápidamente, verificar que está completo.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)
3.1 Proceso de certificación
3.2 Pasos a
• En la entrevista el AUDITOR verifica: (… continuación)
– Que podamos acceder a los documentos que correspondan a laSeguir
3.3 Actividades de la empresa certificadora
última versión.
– Que los documentos que tengamos disponibles en los escritorioscertificadora
3.4 Actividades posteriores
se encuentren clasificados y rotulados.
– Que se entiende por política de escritorio limpio.
3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
– Que el usuario haya tenido una inducción (capacitación) al tema
de seguridad, con el fin de verificar posteriormente fechas de losp
evaluación3.6 Tópicos de
evaluación cursos y su correspondiente evidencia.
– Que en general, tengamos noción de los términos de seguridad,
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
auditoria interna, comités de seguridad, etc.
¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)
3.1 Proceso de certificación
3.2 Pasos a
• En la misma entrevista el AUDITOR (para Informática) verifica:
– Que podamos mostrar evidencia que demuestreSeguir
3.3 Actividades de la empresa certificadora
seguimiento o mediciones del proceso.
• Cómo va el proceso?certificadora
3.4 Actividades posteriores
• Se alcanzan los resultados?
• Qué estamos haciendo para que se alcancen los3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
Q p q
resultados?.
– Que podamos responder cómo nos ha ido en las auditoriaspevaluación
3.6 Tópicos de evaluación
Q p p
internas. Se han encontrado problemas en el proceso?.
– Que mejoras se están desarrollando al SGI?. (Cantidad,
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
j ( ,
responsables, tiempos, resultados)
¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)
3.1 Proceso de certificación
3.2 Pasos a
• Nunca se debe dejar solo al auditor, siempre y en
todo momento debe estar acompañado por el JefeSeguir
3.3 Actividades de la empresa certificadora
p p
de Auditoria Interna, o por quien este defina..
certificadora
3.4 Actividades posteriores
• En algunos casos, el auditor recoge información en
esta entrevista para realizar chequeos cruzados de
3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
información en el siguiente proceso.
pevaluación
3.6 Tópicos de evaluación
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)3.1 Proceso de certificación
3.2 Pasos a • Adicionalmente, el auditor puede evaluar nuestro conocimiento de
t d l Si t d G tió I t l l lSeguir
3.3 Actividades de la empresa certificadora
otros procesos del Sistema de Gestión Integral en los cuales
podemos participar:
CAPACITACION Y ENTRENAMIENTOcertificadora
3.4 Actividades posteriores
– CAPACITACION Y ENTRENAMIENTO
– EVALUACION DE COMPETENCIAS
3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
– AUDITORIAS INTERNAS
– ACCIONES CORRECTIVAS Y PREVENTIVASp
evaluación3.6 Tópicos de
evaluación– CONTROL DE DOCUMENTOS
– REVISION GERENCIAL
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
POLITICA DE CALIDAD /SEGURIDAD
Las preguntas COMODIN
3.1 Proceso de certificación
3.2 Pasos a
• POLITICA DE CALIDAD /SEGURIDAD
– ¿Conoce la Política de calidad y Seguridad de AHORROCOOP? (Donde esta
involucrado usted)Seguir
3.3 Actividades de la empresa certificadora
– Indique dos aspectos importantes
• CUMPLIMIENTO DE LOS REQUISITOS
certificadora
3.4 Actividades posteriores
• MEJORA CONTINUA
• OBJETIVOS DE CALIDAD / SEGURIDAD
– Su trabajo como aporta al logro de los objetivos (CALIDAD, SEGURIDAD)3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
j p g j ( , )
– Cual de los objetivos de seguridad es más importante
• DESCRIPCION DE CARGOp
evaluación3.6 Tópicos de
evaluación – La conoce? (Es real esta descripción o usted hace otras tareas?)
– Podemos revisarla?
D d t d ti d fi id l t d li i t d l SGI?
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
– Donde usted tiene definido los aspectos de cumplimiento del SGI?
RECOMENDACIONES3.1 Proceso de certificación
3.2 Pasos a
• Responder con seguridad a las preguntas.
Seguir
3.3 Actividades de la empresa certificadora
• Responder lo que el auditor pregunta, no extenderse
más de lo necesario.certificadora
3.4 Actividades posteriores
• Mostrar los registros Solicitados.
Si l dit t l di i t d3.5 Mantención y mejora
3.6 Tópicos de 3.6 Tópicos de
• Si el auditor pregunta por los procedimientos, acceder a
la Intranet (y no a otro lugar).p
evaluación3.6 Tópicos de
evaluación
• No hay preguntas que requieran de nuestra memoria,
siempre que sea necesario acceder a la intranet.
Preparado por: Consultores QEC – Información de uso interno de AhorroCoop
p q