Post on 19-Jun-2015
description
transcript
Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO
20000, COBIT, BS 25999 / ISO 22301
October 2011
Mario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
• Introducción
• Sistema de Gestión Integral
• Elementos comunes de los Sistemas de Gestión
• Auditoría y Certificación
• Conclusiones
Introducción 2008
Introducción 2011
Introducción
Introducción
IntroducciónEstándares originados por BSI (British Standards Institution):
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
Introducción
DesempeñoCrear ventaja competitiva a través de la mejora en el desempeño
SustentabilidadCrear valor a través de prácticas sustentables
RiesgoReducir interrupciones a través de una efectiva gestiónde riesgo
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
ISO 31000
COBIT / ISO 38500
BalancedScorecard
PM
BO
K /
PR
INC
E2
Val IT
LFPDPPP, SOX, BASILEAII,
PCI.
ISO 9001SGC
ISO 20000SGSTI ISO 27001
SGSI
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/ISO 27031
SGCN
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE-CMM
COSO
BS 10012SGIP
Practicas de protección
de datos
PAS
99
Sistema de Gestión Integral
• Sistema de gestión que integra todos lossistemas y procesos de una organización en unúnico marco de referencia, permitiendo a laorganización trabajar como una unidad conobjetivos unificados.
Sistema de Gestión Integral
• Beneficios:
• Enfoque de negocio mejorado
• Enfoque holístico para gestionar riesgos
• Menor conflicto entre sistemas
• Reducir duplicación y burocracia
• Auditorías mas eficientes y efectivas tantointernas como externas
Sistema de Gestión Integral
• ¿Quien puede implementarlo?
El Sistema de Gestión Integrado es relevante paracualquier organización, independientemente desu tamaño o sector en el que opera, que busqueintegrar dos o más de sus sistemas en uno solocon un conjunto holístico de documentación,políticas, procedimientos y procesos.
Sistema de Gestión Integral
• Basado en P-D-C-A
Sistema de Gestión Integral
• La organización pregunta:
Nosotros no tenemos procesos, aquítrabajamos por funciones… ¿Puedoimplementar un Sistema de Gestión?
Sistema de Gestión Integral
• La organización pregunta:
¿Debo tener todo documentado enun mismo Manual de Sistema deGestión Integral?
Sistema de Gestión Integral
Sistema de Gestión Integral
El Manual del Sistema de GestiónNO es un requisito común.
Manual del Sistema de
Gestión Integral
Sistema de Gestión Integral
• La organización pregunta:
¿Es mandatorio tener un comité paracada Sistema de Gestión? Ejemplo:uno para 9000, otro para Seguridad,etc. ¿?
Sistema de Gestión Integral
• La organización pregunta:
¿Puedo tener una sola declaraciónde aplicabilidad (SoA) para el Sistemade Gestión Integral?
Sistema de Gestión Integral
La Declaración de AplicabilidadNO es un requisito común.
Declaración de
Aplicabilidad (SoA)
Sistema de Gestión Integral
Sistema de Gestión Integral
¿Cuál es el estándar que establece los requisitos del Sistema de Gestión
Integral?
Elementos comunes de los SG
Les presento: PAS 99
Elementos comunes de los SG
• ISO Guide 72:
–Para quienes escriben estándares eincluye un marco de referencia de loselementos comunes de los Sistemas deGestión.
Elementos comunes de los SG
• Estructura de PAS 99:1. Alcance
2. Referencias Normativas
3. Términos y definiciones
4. Requerimientos comunes de Sistemas deGestión
5. Anexo A – Guía sobre antecedentes y uso de lapublicación
Elementos comunes de los SG
• Principales categorías:– Política
– Planeación
– Implementar y operar
– Evaluación del desempeño
– Mejora
– Revisión de la gerencia
Elementos comunes de los SG
Elementos comunes de los SG
Elementos comunes de los SG
• 4.1 Requerimientos generales– Alcance del Sistema de Gestión– Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestión– Identificar los procesos necesarios– Determinar la secuencia e interacción de estos procesos– Determinar criterios y métodos necesarios– Asegurar la disponibilidad de recursos e información para
soportar la operación y monitoreo– Monitorear, medir y analizar estos procesos
Elementos comunes de los SG
• 4.2 Política del Sistema de Gestión– Apropiada a las actividades, productos y servicios– Incluye un compromiso de cumplimiento con
todos los requerimientos legales relevantes– Provee la base para establecer y revisar objetivos– Es comunicada a todas las personas que trabajan
en o en nombre de la organización– Es revisada continuamente para verificar su
adecuación
Sistema de Gestión Integral
¿Puedo tener un solo documento de política para todos los Sistemas
de Gestión?
Elementos comunes de los SG
• 4.3 Planeación– Identificación y evaluación de aspectos, impactos y
riesgos– Identificación de requerimientos legales y otros– Planeación de contingencias– Objetivos– Estructura organizacional, roles, responsabilidades y
autoridades– Identificar, documentar y comunicar roles,
responsabilidades y autoridades de los involucrados
Elementos comunes de los SG
• 4.4 Implementación y operación– Control operacional
– Gestión de recursos (competencias)
– Requerimientos de documentación
– Comunicación
Elementos comunes de los SG
• 4.4.3 Requerimientos de documentación– Alcance
– Declaración de política y objetivos
– Descripción de los principales elementos del sistema
– Procedimientos documentados y registrosmandatorios
– Documentos que la organización considere comonecesarios
Elementos comunes de los SG• 4.4.3.3 Control de documentos
– Aprobar previo a su uso– Revisar, actualizar y re-aprobar documentos– Asegurar que los cambios y versión actual están
identificados– Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso– Asegurar que los documentos se mantienen legibles e
identificables– Asegurar que los documentos de origen externo están
identificados y su distribución controlada– Prevenir el uso no intencionado de documentos
obsoletos
Sistema de Gestión Integral
Documentos y registros ¿Son lo mismo, son
cosas diferentes, cuales son las diferencias?
Elementos comunes de los SG
• 4.5 Evaluación del desempeño
–Monitoreo y medición
–Evaluación de cumplimiento
–Auditoría interna
–Gestión de no conformidades
Elementos comunes de los SG
• 4.6 Mejora– General
– Acciones correctivas, preventivas y de mejora
Elementos comunes de los SG
• 4.6.2 Acciones correctivas, preventivas y demejoraA) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de acción para que no vuelvana ocurrir
D) Determinar e implementar la acción necesaria
E) Registrar los resultados de la acción tomada
F) Revisar la efectividad de las acciones tomadas
Elementos comunes de los SG
• 4.7 Revisión de la Gerencia
–General
–Entradas
–Salidas
Elementos comunes de los SG
• 4.7.2 EntradasA) Resultados de auditoríasB) Retroalimentación de partes interesadasC) Estatus de acciones correctivas y preventivasD) Acciones de seguimiento para revisiones previasE) Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con laorganización y los riesgos que enfrenta
F) Recomendaciones de mejoraG) Datos e información sobre el desempeñoH) Resultados de la evaluación de cumplimiento
Elementos comunes de los SG
• 4.7.3 SalidasA) Mejoras en la efectividad del sistema
de gestión
B) Mejoras relacionadas con los requeri-mientos de las partes interesadas
C) Recursos necesarios para lograr lamejora al Sistema de Gestión y susprocesos
Elementos comunes de los SG
• Procedimientos “mandatorios”:
–Control de documentos y registros
–Auditoría
–Acciones Correctivas
–Acciones Preventivas
Elementos comunes de los SG
• Pasos sugeridos:
• Sistemas son utilizados por separado1 Combinado
• Se han identificado los elementos comunes2 Integrable
• Se han identificado los elementos comunes y están siendo integrados3 Integración
• Un sistema que integra todos los elementos comúnes4 Integrado
(Paréntesis)… y que hay de COBIT?
Sistema de Gestión Integral
¿Qué estándar define las guías para auditoría de Sistemas de gestión?
Auditoría y Certificación
ISO 19011
Guías para la auditoría de
Sistemas de Gestión de Calidad y/o ambiental…
Auditoría y CertificaciónInicio de la Auditoría
Revisión de Documentos
Preparar Actividades en Sitio
Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditoría
Completar la Auditoría
Conducir el Seguimiento de la Auditoría
Competencia del auditor
• Habilidades y atributos personales.• Conocimiento y experiencia en la aplicación de
principios de:– Auditoría +– Sistemas de Gestión +– Calidad +– Seguridad de la Información +– Gestión de TI +– Continuidad del Negocio +– …
Auditoría y Certificación
Cumplimiento vs Conformidad
Auditoría y Certificación
• La organización pregunta:
¿Puedo solicitar la auditoría decertificación para diferentes sistemasen forma simultánea?
Conclusiones
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
ISO 31000
COBIT / ISO 38500
BalancedScorecard
PM
BO
K /
PR
INC
E2
Val IT
LFPDPPP, SOX, BASILEAII,
PCI.
ISO 9001SGC
ISO 20000SGSTI ISO 27001
SGSI
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/ISO 27031
SGCN
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE-CMM
COSO
BS 10012SGIP
Practicas de protección
de datos
PAS
99
Preguntas y respuestas¡Gracias!
Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA