latin cacs 341 mario ureña - sistemas de gestión integral
DESCRIPTION
Presentación sobre componentes comunes y el Sistema de Gestión Integral.TRANSCRIPT
![Page 1: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/1.jpg)
Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO
20000, COBIT, BS 25999 / ISO 22301
October 2011
Mario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
![Page 2: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/2.jpg)
Agenda
• Introducción
• Sistema de Gestión Integral
• Elementos comunes de los Sistemas de Gestión
• Auditoría y Certificación
• Conclusiones
![Page 3: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/3.jpg)
Introducción 2008
![Page 4: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/4.jpg)
Introducción 2011
![Page 5: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/5.jpg)
Introducción
![Page 6: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/6.jpg)
Introducción
![Page 7: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/7.jpg)
IntroducciónEstándares originados por BSI (British Standards Institution):
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
![Page 8: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/8.jpg)
Introducción
DesempeñoCrear ventaja competitiva a través de la mejora en el desempeño
SustentabilidadCrear valor a través de prácticas sustentables
RiesgoReducir interrupciones a través de una efectiva gestiónde riesgo
![Page 9: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/9.jpg)
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
ISO 31000
COBIT / ISO 38500
BalancedScorecard
PM
BO
K /
PR
INC
E2
Val IT
LFPDPPP, SOX, BASILEAII,
PCI.
ISO 9001SGC
ISO 20000SGSTI ISO 27001
SGSI
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/ISO 27031
SGCN
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE-CMM
COSO
BS 10012SGIP
Practicas de protección
de datos
PAS
99
![Page 10: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/10.jpg)
Sistema de Gestión Integral
• Sistema de gestión que integra todos lossistemas y procesos de una organización en unúnico marco de referencia, permitiendo a laorganización trabajar como una unidad conobjetivos unificados.
![Page 11: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/11.jpg)
Sistema de Gestión Integral
• Beneficios:
• Enfoque de negocio mejorado
• Enfoque holístico para gestionar riesgos
• Menor conflicto entre sistemas
• Reducir duplicación y burocracia
• Auditorías mas eficientes y efectivas tantointernas como externas
![Page 12: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/12.jpg)
Sistema de Gestión Integral
• ¿Quien puede implementarlo?
El Sistema de Gestión Integrado es relevante paracualquier organización, independientemente desu tamaño o sector en el que opera, que busqueintegrar dos o más de sus sistemas en uno solocon un conjunto holístico de documentación,políticas, procedimientos y procesos.
![Page 13: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/13.jpg)
Sistema de Gestión Integral
• Basado en P-D-C-A
![Page 14: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/14.jpg)
Sistema de Gestión Integral
• La organización pregunta:
Nosotros no tenemos procesos, aquítrabajamos por funciones… ¿Puedoimplementar un Sistema de Gestión?
![Page 15: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/15.jpg)
Sistema de Gestión Integral
• La organización pregunta:
¿Debo tener todo documentado enun mismo Manual de Sistema deGestión Integral?
![Page 16: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/16.jpg)
Sistema de Gestión Integral
![Page 17: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/17.jpg)
Sistema de Gestión Integral
El Manual del Sistema de GestiónNO es un requisito común.
Manual del Sistema de
Gestión Integral
![Page 18: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/18.jpg)
Sistema de Gestión Integral
• La organización pregunta:
¿Es mandatorio tener un comité paracada Sistema de Gestión? Ejemplo:uno para 9000, otro para Seguridad,etc. ¿?
![Page 19: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/19.jpg)
Sistema de Gestión Integral
• La organización pregunta:
¿Puedo tener una sola declaraciónde aplicabilidad (SoA) para el Sistemade Gestión Integral?
![Page 20: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/20.jpg)
Sistema de Gestión Integral
La Declaración de AplicabilidadNO es un requisito común.
Declaración de
Aplicabilidad (SoA)
![Page 21: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/21.jpg)
Sistema de Gestión Integral
![Page 22: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/22.jpg)
Sistema de Gestión Integral
¿Cuál es el estándar que establece los requisitos del Sistema de Gestión
Integral?
![Page 23: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/23.jpg)
Elementos comunes de los SG
Les presento: PAS 99
![Page 24: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/24.jpg)
Elementos comunes de los SG
• ISO Guide 72:
–Para quienes escriben estándares eincluye un marco de referencia de loselementos comunes de los Sistemas deGestión.
![Page 25: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/25.jpg)
Elementos comunes de los SG
• Estructura de PAS 99:1. Alcance
2. Referencias Normativas
3. Términos y definiciones
4. Requerimientos comunes de Sistemas deGestión
5. Anexo A – Guía sobre antecedentes y uso de lapublicación
![Page 26: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/26.jpg)
Elementos comunes de los SG
• Principales categorías:– Política
– Planeación
– Implementar y operar
– Evaluación del desempeño
– Mejora
– Revisión de la gerencia
![Page 27: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/27.jpg)
Elementos comunes de los SG
![Page 28: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/28.jpg)
Elementos comunes de los SG
![Page 29: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/29.jpg)
Elementos comunes de los SG
• 4.1 Requerimientos generales– Alcance del Sistema de Gestión– Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestión– Identificar los procesos necesarios– Determinar la secuencia e interacción de estos procesos– Determinar criterios y métodos necesarios– Asegurar la disponibilidad de recursos e información para
soportar la operación y monitoreo– Monitorear, medir y analizar estos procesos
![Page 30: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/30.jpg)
Elementos comunes de los SG
• 4.2 Política del Sistema de Gestión– Apropiada a las actividades, productos y servicios– Incluye un compromiso de cumplimiento con
todos los requerimientos legales relevantes– Provee la base para establecer y revisar objetivos– Es comunicada a todas las personas que trabajan
en o en nombre de la organización– Es revisada continuamente para verificar su
adecuación
![Page 31: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/31.jpg)
Sistema de Gestión Integral
¿Puedo tener un solo documento de política para todos los Sistemas
de Gestión?
![Page 32: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/32.jpg)
Elementos comunes de los SG
• 4.3 Planeación– Identificación y evaluación de aspectos, impactos y
riesgos– Identificación de requerimientos legales y otros– Planeación de contingencias– Objetivos– Estructura organizacional, roles, responsabilidades y
autoridades– Identificar, documentar y comunicar roles,
responsabilidades y autoridades de los involucrados
![Page 33: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/33.jpg)
Elementos comunes de los SG
• 4.4 Implementación y operación– Control operacional
– Gestión de recursos (competencias)
– Requerimientos de documentación
– Comunicación
![Page 34: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/34.jpg)
Elementos comunes de los SG
• 4.4.3 Requerimientos de documentación– Alcance
– Declaración de política y objetivos
– Descripción de los principales elementos del sistema
– Procedimientos documentados y registrosmandatorios
– Documentos que la organización considere comonecesarios
![Page 35: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/35.jpg)
Elementos comunes de los SG• 4.4.3.3 Control de documentos
– Aprobar previo a su uso– Revisar, actualizar y re-aprobar documentos– Asegurar que los cambios y versión actual están
identificados– Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso– Asegurar que los documentos se mantienen legibles e
identificables– Asegurar que los documentos de origen externo están
identificados y su distribución controlada– Prevenir el uso no intencionado de documentos
obsoletos
![Page 36: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/36.jpg)
Sistema de Gestión Integral
Documentos y registros ¿Son lo mismo, son
cosas diferentes, cuales son las diferencias?
![Page 37: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/37.jpg)
Elementos comunes de los SG
• 4.5 Evaluación del desempeño
–Monitoreo y medición
–Evaluación de cumplimiento
–Auditoría interna
–Gestión de no conformidades
![Page 38: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/38.jpg)
Elementos comunes de los SG
• 4.6 Mejora– General
– Acciones correctivas, preventivas y de mejora
![Page 39: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/39.jpg)
Elementos comunes de los SG
• 4.6.2 Acciones correctivas, preventivas y demejoraA) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de acción para que no vuelvana ocurrir
D) Determinar e implementar la acción necesaria
E) Registrar los resultados de la acción tomada
F) Revisar la efectividad de las acciones tomadas
![Page 40: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/40.jpg)
Elementos comunes de los SG
• 4.7 Revisión de la Gerencia
–General
–Entradas
–Salidas
![Page 41: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/41.jpg)
Elementos comunes de los SG
• 4.7.2 EntradasA) Resultados de auditoríasB) Retroalimentación de partes interesadasC) Estatus de acciones correctivas y preventivasD) Acciones de seguimiento para revisiones previasE) Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con laorganización y los riesgos que enfrenta
F) Recomendaciones de mejoraG) Datos e información sobre el desempeñoH) Resultados de la evaluación de cumplimiento
![Page 42: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/42.jpg)
Elementos comunes de los SG
• 4.7.3 SalidasA) Mejoras en la efectividad del sistema
de gestión
B) Mejoras relacionadas con los requeri-mientos de las partes interesadas
C) Recursos necesarios para lograr lamejora al Sistema de Gestión y susprocesos
![Page 43: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/43.jpg)
Elementos comunes de los SG
• Procedimientos “mandatorios”:
–Control de documentos y registros
–Auditoría
–Acciones Correctivas
–Acciones Preventivas
![Page 44: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/44.jpg)
Elementos comunes de los SG
• Pasos sugeridos:
• Sistemas son utilizados por separado1 Combinado
• Se han identificado los elementos comunes2 Integrable
• Se han identificado los elementos comunes y están siendo integrados3 Integración
• Un sistema que integra todos los elementos comúnes4 Integrado
![Page 45: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/45.jpg)
(Paréntesis)… y que hay de COBIT?
![Page 46: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/46.jpg)
Sistema de Gestión Integral
¿Qué estándar define las guías para auditoría de Sistemas de gestión?
![Page 47: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/47.jpg)
Auditoría y Certificación
ISO 19011
Guías para la auditoría de
Sistemas de Gestión de Calidad y/o ambiental…
![Page 48: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/48.jpg)
Auditoría y CertificaciónInicio de la Auditoría
Revisión de Documentos
Preparar Actividades en Sitio
Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditoría
Completar la Auditoría
Conducir el Seguimiento de la Auditoría
![Page 49: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/49.jpg)
Competencia del auditor
• Habilidades y atributos personales.• Conocimiento y experiencia en la aplicación de
principios de:– Auditoría +– Sistemas de Gestión +– Calidad +– Seguridad de la Información +– Gestión de TI +– Continuidad del Negocio +– …
![Page 50: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/50.jpg)
Auditoría y Certificación
Cumplimiento vs Conformidad
![Page 51: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/51.jpg)
Auditoría y Certificación
• La organización pregunta:
¿Puedo solicitar la auditoría decertificación para diferentes sistemasen forma simultánea?
![Page 52: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/52.jpg)
Conclusiones
![Page 53: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/53.jpg)
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
ISO 31000
COBIT / ISO 38500
BalancedScorecard
PM
BO
K /
PR
INC
E2
Val IT
LFPDPPP, SOX, BASILEAII,
PCI.
ISO 9001SGC
ISO 20000SGSTI ISO 27001
SGSI
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/ISO 27031
SGCN
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE-CMM
COSO
BS 10012SGIP
Practicas de protección
de datos
PAS
99
![Page 54: Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral](https://reader033.vdocuments.pub/reader033/viewer/2022051314/5583c425d8b42a410e8b5269/html5/thumbnails/54.jpg)
Preguntas y respuestas¡Gracias!
Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA