Iso 9001:2000 - Iso 27000
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Iso 9001:2000 - Iso 27000 as PDF for free.
More details
- Words: 13,450
- Pages: 43
UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERÍA E.A.P. INGENIERÍA INFORMÁTICA VII SEMESTE
CURSO:
CONTROL Y CALIDAD DE SOFTWARE
ISO 27000 ISO 9001:2000 Cruz Cóndor Miguel Saforas Contreras Danny Velazco Mendoza Luis Zarate Chamorro Roy
HUANCAYO 2008
CONTENIDO INTRODUCCIÓN................................................................................................................................5 I. QUÉ ES ISO.....................................................................................................................................6 II. ¿QUÉ ES SGSI?..............................................................................................................................6 III. ESTRUCTURA DE LA ORGANIZACIÓN..................................................................................6 IV. ANTECEDENTES.........................................................................................................................7 V. PRINCIPALES NORMAS ISO.......................................................................................................7 VI. ISO 27000.......................................................................................................................................8 ¿Qué es la norma ISO 27000?.........................................................................................................8 Familias............................................................................................................................................8 ISO 27001....................................................................................................................................8 ISO 27002...................................................................................................................................9 ISO 27003...................................................................................................................................9 ISO 27004...................................................................................................................................9 ISO 27005...................................................................................................................................9 ISO 27006...................................................................................................................................9 ¿Qué tipo de empresas se están certificando en ISO 27001?.........................................................10 Consideraciones clave para el estándar..........................................................................................10 Cómo implantar ISO 27001...........................................................................................................10 Certificación...................................................................................................................................11 Implantación del SGSI...................................................................................................................11 Auditoría y certificación................................................................................................................13 Organizaciones de certificación.....................................................................................................14 Estándares certificables:.................................................................................................................14 ISMS Standards.........................................................................................................................14 New ISO series of 27000 standards......................................................................................14 ISMS Specifications.............................................................................................................14 Auditing Standards...............................................................................................................14 Accreditation Standards........................................................................................................15 Control Standards.................................................................................................................15 PROCESO DE CERTIFICACIÓN................................................................................................16 ¿Qué es una entidad de certificación?............................................................................................17 El auditor........................................................................................................................................17 ISO 27k en el Perú.........................................................................................................................18 Breve resumen del estándar............................................................................................................18 VII. ISO 9001:2000............................................................................................................................23 SERIE DE NORMAS ISO 9000:2000..........................................................................................23 1. UNEENISO 9001:2000. ....................................................................................................23 2. UNEENISO 9004:2000. ....................................................................................................23 3. UNEENISO 9000:2000. ....................................................................................................23 ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS...................24 1. Objeto y campo de aplicación ..............................................................................................24 Generalidades ......................................................................................................................24 1.1 Aplicación.......................................................................................................................24 1.2 Aplicación.......................................................................................................................24 2. Referencias normativas ........................................................................................................24 3. Términos y definiciones........................................................................................................24 4. Sistema de gestión de la calidad............................................................................................25 4.1 Requisitos generales ......................................................................................................25
4.2 Requisitos de la documentación ....................................................................................25 4.2.1. Generalidades ........................................................................................................25 4.2.2. Manual de la calidad .............................................................................................25 4.2.3. Control de los documentos ...................................................................................26 4.2.4. Control de los registros .........................................................................................26 5. Responsabilidad de la dirección ...........................................................................................26 5.1. Compromiso de la dirección .........................................................................................26 5.2. Enfoque al cliente .........................................................................................................27 5.3. Política de la calidad .....................................................................................................27 5.4. Planificación .................................................................................................................27 5.4.1. Objetivos de la calidad ..........................................................................................27 5.4.2. Planificación del sistema de gestión de la calidad ................................................27 5.5. Responsabilidad, autoridad y comunicación ................................................................27 5.5.1. Responsabilidad y autoridad .................................................................................27 5.5.2. Representante de la dirección ...............................................................................27 5.5.3. Comunicación interna ...........................................................................................28 5.6. Revisión por la dirección ..............................................................................................28 5.6.1. Generalidades ........................................................................................................28 5.6.2. Información para la revisión .................................................................................28 5.6.3. Resultados de la revisión ......................................................................................28 6. Gestión de los recursos .........................................................................................................28 6.1. Provisión de recursos ....................................................................................................28 6.2. Recursos humanos ........................................................................................................28 6.2.1. Generalidades ........................................................................................................28 6.2.2. Competencia, toma de conciencia y formación ....................................................28 6.3. Infraestructura ...................................................................................................................29 6.3. Infraestructura ..............................................................................................................29 6.4. Ambiente de trabajo .....................................................................................................29 7. Realización del producto ......................................................................................................29 7.1. Planificación de la realización del producto .................................................................29 7.2. Procesos relacionados con el cliente .............................................................................30 7.2.1. Determinación de los requisitos relacionados con el producto .............................30 7.2.2. Revisión de los requisitos relacionados con el producto .......................................30 7.2.3. Comunicación con el cliente .................................................................................30 7.3. Diseño y desarrollo .......................................................................................................30 7.3.1 Planificación del diseño y desarrollo ..................................................................30 7.3.2. Elementos de entrada para el diseño y desarrollo .................................................31 7.3.3 Resultados del diseño y desarrollo ......................................................................31 7.3.4. Revisión del diseño y desarrollo ...........................................................................31 7.3.5. Verificación del diseño y desarrollo .....................................................................32 7.3.6. Validación del diseño y desarrollo ........................................................................32 7.3.7. Control de los cambios del diseño y desarrollo .....................................................32 7.4. Compras .......................................................................................................................32 7.4.1. Proceso de compras ...............................................................................................32 7.4.2. Información de las compras ..................................................................................32 7.4.3. Verificación de los productos comprados .............................................................33 7.5. Producción y prestación del servicio ............................................................................33 7.5.1. Control de la producción y de la prestación del servicio .......................................33 7.5.2. Validación de los procesos de la producción y de la prestación del servicio ........33 7.5.3. Identificación y trazabilidad .................................................................................33
7.5.4. Propiedad del cliente .............................................................................................34 7.5.5. Preservación del producto .....................................................................................34 7.6. Control de los dispositivos de seguimiento y de medición ..........................................34 Medición, análisis y mejora .....................................................................................................34 8.1. Generalidades ................................................................................................................35 8.2. Seguimiento y medición ...............................................................................................35 8.2.1. Satisfacción del cliente ..........................................................................................35 8.2.2. Auditoría interna ...................................................................................................35 8.2.3. Seguimiento y medición de los procesos ..............................................................35 8.2.4. Seguimiento y medición del producto ..................................................................36 8.3. Control del producto no conforme ...............................................................................36 8.4. Análisis de datos ...........................................................................................................36 8.5. Mejora ...........................................................................................................................37 8.5.1. Mejora continua ...................................................................................................37 8.5.2. Acción correctiva ..................................................................................................37 8.5.3 Acción preventiva ................................................................................................37 EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000...........................................................38
INTRODUCCIÓN El presente trabajo es un muy breve resumen de los aspectos más importantes a tener en cuenta para la aplicación del Estándar Internacional ISO 27000 e ISO 9001:2000 y sus variantes, y una breve guía para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar. Se resalta la descripción de la variante ISO 27001 por ser prometedor y de uso indirecto en el el gobierno peruano mediante la Norma Técnica Peruana NTPISO / IEC 17799:2007. Por el lado de ISO 9001:2000, se señala los requerimientos indispensables para obtener la certificación, como también el proceso adecuado para iniciar el plan de calidad.
I. QUÉ ES ISO “ISO (International Organization for Standardization) is the world's largest developer and publisher of International Standards. ISO is a network of the national standards institutes of 157 countries, one member per country, with a Central Secretariat in Geneva, Switzerland, that coordinates the system. ISO is a nongovernmental organization that forms a bridge between the public and private sectors. On the one hand, many of its member institutes are part of the governmental structure of their countries, or are mandated by their government. On the other hand, other members have their roots uniquely in the private sector, having been set up by national partnerships of industry associations.”[ISO] “ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.”[ISOES] II. ¿QUÉ ES SGSI? “Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información.”[ISOES]
III. ESTRUCTURA DE LA ORGANIZACIÓN La Organización ISO está compuesta por tres tipos de miembros: • •
•
Miembros natos, uno por país, recayendo la representación en el organismo nacional más representativo. Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen. Miembros suscritos, países con reducidas economías a los que se les exige el pago
de tasas menores que a los correspondientes. ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera estrechamente con la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC) que es responsable de la estandarización de equipos eléctricos. IV. ANTECEDENTES La Organización Internacional para la Estandarización nace después de la Segunda Guerra Mundial (fue creada el 23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. La ISO es una red de los institutos de normas nacionales de 157 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra, Suiza, que coordina el sistema. La Organización Internacional de Normalización (ISO), con base en Ginebra, Suiza, está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento ambiental. Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país. Es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ON) nacionales, que produce normas internacionales industriales y comerciales. Dichas normas se conocen como Normas ISO y su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir con unos Estándares comunes para el desarrollo y transferencia de tecnologías. V. PRINCIPALES NORMAS ISO Algunos estándares son los siguientes: • ISO 216 — Medidas de papel: p.e. ISO A4 • ISO 639 — Nombres de lenguas • ISO 690:1987 — Regula las citas bibliográficas (corresponde a la norma UNE 50104:1994) • ISO 6902:1997 — Regula las citas bibliográficas de documentos electrónicos • ISO 732 — Formato de carrete de 120 • ISO 838 — Estándar para perforadoras de papel • ISO 1007 — Formato de carrete de 135 • ISO/IEC 15391 — Lenguaje de programación Fortran • ISO 3029 — Formato carrete de 126 • ISO 3166 — Códigos de países • ISO 4217 — Códigos de divisas • ISO 7811 — Técnica de grabación en tarjetas de identificación • ISO 8601 — Representación del tiempo y la fecha. Adoptado en Internet mediante el Date and Time Formats de W3C que utiliza UTC • ISO 8859 — Codificaciones de caracteres que incluye ASCII como un subconjunto
• • • • • • • • • • • • • • • • • • • • • • •
(Uno de ellos es el ISO 88591, que permite codificar las lenguas originales de Europa occidental, como el español) ISO/IEC 8652:1995 — Lenguaje de programación Ada ISO 9000 — Sistemas de Gestión de la Calidad – Fundamentos y vocabulario ISO 9001 — Sistemas de Gestión de la Calidad – Requisitos ISO 9004 — Sistemas de Gestión de la Calidad – Directrices para la mejora del desempeño ISO 9660 — Sistema de archivos de CDROM ISO 9899 — Lenguaje de programación C ISO 10279 — Lenguaje de programación BASIC ISO 10646 — Universal Character Set ISO/IEC 11172 — MPEG1 ISO/IEC 12207 — Tecnología de la información / Ciclo de vida del software ISO 13450 — Formato de carrete de 110 ISO/IEC 13818 — MPEG2 ISO 14000 — Estándares de Gestión Medioambiental en entornos de producción ISO/IEC 14496 — MPEG4 ISO/IEC 15444 — JPEG 2000 ISO 15693 — Estándar para «tarjetas de vecindad» ISO 22000 Inocuidad en alimentos. ISO 26300 — OpenDocument ISO/IEC 17025 — Requisitos generales relativos a la competencia de los laboratorios de ensayo y calibración ISO/IEC 26300 — OpenDocument Format (.odf) ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información ISO/IEC 20000 — Tecnología de la información. Gestión del servicio ISO 32000 — Formato de Documento Portátil (.pdf)
VI. ISO 27000
¿Qué es la norma ISO 27000? “ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.”[ISOES] Familias ISO 27001 “Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (PlanDoCheckAct; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI
según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.”[ISOES] “The objective of the standard itself is to "provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an Information Security Management System". Regarding its adoption, this should be a strategic decision. Further, "The design and implementation of an organization's ISMS is influenced by their needs and objectives, security requirements, the process employed and the size and structure of the organization".”[27000,ORG] ISO 27002 “Su origen está en la norma de BSI (British Standards Institution) BS7799Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. No es certificable. “[ISOES] ISO 27003 “The purpose of this proposed development is to provide help and guidance in implementing an ISMS (Information Security Management System). This will include focus upon the PDCA method, with respect to establishing, implementing reviewing and improving the ISMS itself. ISO committee SC27 will oversee the development, as with other information security standards.However, this is a longer term project, and publication is not expected until late in 2008 or early in 2009.”[27000,ORG] ISO 27004 “ISO 27004 is the official number of the emerging standard covering information security management measurement and metrics. Again, however, it is not expected to be published in the immediate term. However, its development is well underway, being at stage 3, working draft level. It is intended to help an organization establish the effectiveness of its ISMS implementation, embracing benchmarking and performance targeting within the PDCA cycle.”[27000,ORG] ISO 27005 “ISO 27005 is the name of the prime 27000 series standard covering information security risk management. The standard provides guidelines for information security risk management (ISRM) in an organization, specifically supporting the requirements of an information security management system defined by ISO 27001. The ISO 27005 standard comprises 55 pages, and is applicable to all types of organization. It does not provide or recommend a specific methodology. This will depend upon a number of factors, such as the actual scope of the Information Security Management System (ISMS), or perhaps the industry/commercial sector.”[27000,ORG] ISO 27006 “The ISO 27001 standard was published in October 2005, essentially replacing the old BS77992 standard. It is the specification for an ISMS, an Information Security
Management System. BS7799 itself was a long standing standard, first published in the nineties as a code of practice. As this matured, a second part emerged to cover management systems. It is this against which certification is granted. Today in excess of a thousand certificates are in place, across the world. ISO 27001 enhanced the content of BS77992 and harmonized it with other standards. A scheme has been introduced by various certification bodies for conversion from BS7799 certification to ISO27001 certification. The objective of the standard itself is to "provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an Information Security Management System". Regarding its adoption, this should be a strategic decision. Further, "The design and implementation of an organization's ISMS is influenced by their needs and objectives, security requirements, the process employed and the size and structure of the organization".”[27000,ORG] ¿Qué tipo de empresas se están certificando en ISO 27001? “El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes.”[ISOES] Consideraciones clave para el estándar Según [ANISO] la propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)” (como podrán apreciar que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: ●
ISMS.
●
Valoración de riegos (Risk Assesment)
●
Controles
Cómo implantar ISO 27001 Según [ISOES]: ●
Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http:// www.iso.org), AENOR (http://www.aenor.es) en España, DGN
(http://www.economia.gob.mx/index.jsp?P=85) en México, ICONTEC (http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO). ●
Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).
●
Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer.
●
En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización.
●
Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc
●
Paralelamente, formar y concienciar a todo el personal.
●
Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada.
●
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “preauditoria” muy recomendable para afrontar con garantías una primera certificación en la norma.
Certificación La norma ISO 27001, al igual que su antecesora BS 77992, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. Implantación del SGSI Según [ISOES] “El paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación” El ISO 27001 exige que el SGSI contemple los siguientes puntos: ●
Implicación de la Dirección.
●
Alcance del SGSI y política de seguridad.
●
Inventario de todos los activos de información.
●
Metodología de evaluación del riesgo.
●
Identificación de amenazas, vulnerabilidades e impactos.
●
Análisis y evaluación de riesgos.
●
Selección de controles para el tratamiento de riesgos.
●
Aprobación por parte de la dirección del riesgo residual.
●
Declaración de aplicabilidad.
●
Plan de tratamiento de riesgos.
●
Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
●
Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
●
Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
●
Monitorización constante y registro de todas las incidencias.
●
Realización de auditorías internas.
●
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
●
Mejora continua del SGSI.
La documentación del SGSI deberá incluir: ●
Política y objetivos de seguridad.
●
Alcance del SGSI.
●
Procedimientos y controles que apoyan el SGSI.
●
Descripción de la metodología de evaluación del riesgo.
●
Informe resultante de la evaluación del riesgo.
●
Plan de tratamiento de riesgos.
●
Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
●
Registros.
●
Declaración de aplicabilidad (SOA Statement of Applicability).
●
Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: ●
Política de seguridad.
●
Asignación de responsabilidades de seguridad.
●
Formación y capacitación para la seguridad.
●
Registro de incidencias de seguridad.
●
Gestión de continuidad del negocio.
●
Protección de datos personales.
●
Salvaguarda de registros de la organización.
●
Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra. Auditoría y certificación Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma: ●
Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
●
Respuesta en forma de oferta por parte de la entidad certificadora.
●
Compromiso.
●
Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
●
Preauditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
●
Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
●
Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
●
Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
●
Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del
sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. ●
Auditoría de recertificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.
Organizaciones de certificación Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 77992) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación. Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente. Estándares certificables: Según y al a fecha 25set08 [ISMS] “ ISMS Standards New ISO series of 27000 standards ●
ISO/IEC 27000 Fundamentals and vocabulary
●
ISO/IEC 27001 ISMS Requirements (revised BS 7799 Part 2:2005) Published 15th Oct 2005
●
ISO/IEC 27002 Code of practice for information security management as from April 2007 currently ISO/IEC 17799:2005, published 15th June 2005
●
ISO/IEC 27003 ISMS implementation guidance (under development)
●
ISO/IEC 27004 Information security management measurement (under development)
●
ISO/IEC 27005 Information security risk management (based on and incorporating ISO/IEC 13335 MICTS Part 2) (under development)
●
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems Published 15th February 2007
●
ISO/IEC 27007 Guidelines for information security management systems auditing (under development)
ISMS Specifications ●
ISO/IEC 27001:2005 ISMS Requirements (revised version of BS 77992:2002 Information security management systems – specification with guidance for use.)
●
ISO 9001:2000 Quality Management Systems – Requirements
Auditing Standards
●
ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing
Accreditation Standards ●
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and certification of management systems
●
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
Control Standards ●
ISO/IEC 27002:2005 Code of practice for information security management
PROCESO DE CERTIFICACIÓN
¿Qué es una entidad de certificación? Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. Revisando [IAF] (International Acreditation Foro), no se encontró en Perú una entidad de Certificación El más próximo es Chile: Instituto Nacional de Normalizacion (INN) y Brasil con General Coordination for Accreditation Cgcre, of National Institute of Metrology, Standardization and Industrial Quality (INMETRO) En España, es ENAC (Entidad Nacional de Acreditación) La acreditación de entidades de certificación para ISO 27001 o para BS 77992 antes de derogarse suele hacerse en base al documento EA 7/03 (ANEXO 1) "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European cooperation for Accreditation). El auditor El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores: ●
de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;
●
de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;
●
de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de
la materia para la que está certificado. ISO 27k en el Perú “Según RESOLUCIÓN MINISTERIAL Nº 2462007PCM Aprueban uso obligatorio de la Norma Técnica Peruana “NTPISO / IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática.”[ONGEI] La norma está basada en ISO/IEC 17799:2006, equivalente a ISO/IEC 27002. Breve resumen del estándar Según [ANISO]: 0. Introducción: 0.1 General: Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones. 0.2. Aproximación (o aprovechamiento) del modelo: Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos. Este estándar internacional adopta también el modelo “PlanDoCheckAct” (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente: ●
Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.
●
Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
●
Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
●
Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.
1.2. Aplicación: Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad
de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma. Estas cláusulas son: 4. ISMS. 5. Responsabilidades de la Administración 6. Auditoría Interna del ISMS 7. Administración de las revisiones del ISMS 8. Mejoras del ISMS. (Estas cláusulas realmente conforman el cuerpo principal de esta norma) Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente. 2. Normativas de referencia: Para la aplicación de este documento, es indispensable tener en cuenta la última versión de: “ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management” 3. Términos y definiciones: La siguiente terminología aplica a esta norma: 3.1. Recurso (Asset): Cualquier cosa que tenga valor para la organización. 3.2. Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada. 3.3. Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos. 3.4. Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas. 3.5. Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad. 3.6. Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información. 3.7. Sistema de administración de la seguridad de la información (ISMS: Information
Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. NOTA: el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. 3.8. Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos. 3.9. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad. 3.10. Aceptación de riesgo: Decisión de aceptar un riesgo. 3.11. Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos. 3.12. Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo. 3.13. Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo. ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial. 3.14. Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización. revisará, mantendrá ymejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2. 4.3.2. Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para: ●
Aprobar documentos y prioridades o clasificación de empleo.
●
Revisiones, actualizaciones y reaprobaciones de documentos.
●
Asegurar que los cambios y las revisiones de documentos sean identificados.
●
! Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
●
Asegurar que los documentos permanezcan legibles y fácilmente identificables.
●
Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
●
Asegurar que los documentos de origen externo sean identificados.
●
Asegurar el control de la distribución de documentos.
●
Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito
5. Responsabilidades de administración: 5.1. La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de: ●
Establecimiento de la política del ISMS
●
Asegurar el establecimiento de los objetivos y planes del ISMS.
●
Establecer roles y responsabilidades para la seguridad de la información.
●
Comunicar y concienciar a la organización sobre la importancia y apoyo necesario alos objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.
●
Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS (5.2.1).
●
Decidir los criterios de aceptación de riesgos y los niveles del mismo.
●
Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a la administración para la revisión del ISMS (ver 7.)
5.2.2. Formación, preparación y competencia: La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación). 6. Auditoría interna del ISMS: La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él. La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento (Ver: Procedimiento de Revisión del ISMS Periódicas y aperiódicas 7. Administración de las revisiones del ISMS: Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto anterior serán claramente documentados y los mismos darán origen a esta actividad. Esta actividad está constituida por la revisión de entradas (7.2.) y la de salidas (7.3.) y dará como resultado el documento correspondiente (Ver: Documento de administración de las revisiones del ISMS). 8. Mejoras al ISMS La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración. 8.2. Acciones correctivas:
La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos. Cada una de estas acciones correctivas deberá ser documentada (Ver: Documento de acciones correctivas) El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD (guía de administración de riesgos de sistemas de información y redes París, Julio del 2002, “www.oecd.org”) y su correspondencia con el modelo PDCA. Por último el Anexo C, también informativo, resume la correspondencia entre esta norma y los estándares ISO 9001:2000 y el ISO 14001:2004
VII.ISO 9001:2000 [ISOES] La Norma Internacional, ISO 9001, fue preparada por el Comité Técnico ISO/TC 176, Gestión y Aseguramiento de la Calidad, Subcomité SC 2, Sistemas de la Calidad. Esta tercera edición de la Norma ISO 9001 anula y reemplaza la segunda edición (ISO 9001:1994), así como a las Normas ISO 9002:1994 e ISO 9003:1994. Esta edición de la Norma ISO 9001 incorpora un título revisado, en el cual ya no se incluye el término "Aseguramiento de la calidad". De esta forma se destaca el hecho de que los requisitos del sistema de gestión de la calidad establecidos en esta edición de la Norma ISO 9001, además del aseguramiento de la calidad del producto pretenden también aumentar la satisfacción del cliente. Las normas ISO 9000 de 1994 estaban principalmente pensadas para organizaciones que realizaban proceso productivo y, por tanto, su implantación en las empresas de servicios era muy dura y por eso se sigue en la creencia de que es un sistema bastante burocrático. Con la revisión de 2000 se ha conseguido una norma bastante menos burocrática para organizaciones de todo tipo, y además se puede aplicar sin problemas en empresas de servicios e incluso en la Administración Pública. Para verificar que se cumple con los requisitos de la norma, existen unas entidades de certificación que dan sus propios certificados y permiten el sello. Estas entidades están vigiladas por organismos nacionales que les dan su acreditación. Para la implantación, es muy conveniente que apoye a la organización una empresa de consultoría, que tenga buenas referencias, y el firme compromiso de la Dirección de que quiere implantar el Sistema, ya que es necesario dedicar tiempo del personal de la empresa para implantar el Sistema de gestión de la calidad. SERIE DE NORMAS ISO 9000:2000 [ISOES] 1. UNEENISO 9001:2000. Sistema de Gestión de la Calidad. Requisitos. Define los elementos mínimos de un Sistema de Gestión de la Calidad necesarios para lograr la satisfacción del cliente. Su propósito es la certificación. 2. UNEENISO 9004:2000. Sistema de gestión de la calidad. Directrices para la Mejora del desempeño. Proporciona una guía más allá de los requisitos mínimos para el establecimiento, operación y mejora continua de un sistema de gestión de la calidad. 3. UNEENISO 9000:2000. Sistemas de gestión de la calidad. Fundamento y vocabulario.
ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS [REQ] 1. Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización a) Necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables, y b) Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los reglamentarios aplicables. En esta Norma Internacional, el término "producto" se aplica únicamente al producto destinado a un cliente o solicitado por él. 1.2 Aplicación Todos los requisitos de esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo, tamaño y producto suministrado. Cuando uno o varios requisitos de esta Norma Internacional no se puedan aplicar debido a la naturaleza de la organización y de su producto, pueden considerarse para su exclusión.
2. Referencias normativas El documento normativo, contiene disposiciones que, a través de referencias, constituyen disposiciones de esta Norma Internacional. No obstante, se recomienda a las partes que basen sus acuerdos en esta Norma Internacional que investiguen la posibilidad de aplicar la edición más reciente del documento normativo. Los miembros de CEI e ISO mantienen el registro de las Normas Internacionales vigentes. 3. Términos y definiciones Para el propósito de esta Norma Internacional, son aplicables los términos y definiciones dados en la Norma ISO 9000. A lo largo del texto de la Norma Internacional, cuando se utilice el término "producto", éste
puede significar también "servicio". 4. Sistema de gestión de la calidad 4.1.Requisitos generales La organización debe establecer, documentar, implementar y mantener un sistema de gestión de la calidad y mejorar continuamente su eficacia de acuerdo con los requisitos de esta Norma Internacional. La organización debe : a) Identificar los procesos necesarios para el sistema de gestión de la calidad y su aplicación. b) Determinar la secuencia e interacción de estos procesos. c) Determinar los criterios y métodos necesarios para asegurarse de que tanto la operación como el control de estos procesos sean eficaces. d) Asegurarse de la disponibilidad de recursos e información necesarios para apoyar la operación y el seguimiento de estos procesos. e) Realizar el seguimiento, la medición y el análisis de estos procesos, e f) Implementar las acciones necesarias para alcanzar los resultados planificados y la mejora continua de estos procesos. 4.2. Requisitos de la documentación 4.2.1. Generalidades La documentación del sistema de gestión de la calidad debe incluir : a) Declaraciones documentadas de una política de la calidad y de objetivos de la calidad, b) Un manual de la calidad, c) Los procedimientos documentados requeridos en esta Norma Internacional, d) Los documentos necesitados por la organización para asegurarse de la eficaz planificación, operación y control de sus procesos, y e) Los registros requeridos por esta Norma Internacional (véase 4.2.4). La extensión de la documentación del sistema de gestión de la calidad puede diferir de una organización a otra : a) El tamaño de la organización y el tipo de actividades, b) La complejidad de los procesos y sus interacciones, y c) La competencia del personal. La documentación puede estar en cualquier formato o tipo de medio. 4.2.2. Manual de la calidad La organización debe establecer y mantener un manual de la calidad que incluya: a) El alcance del sistema de gestión de la calidad, incluyendo los detalles y la justificación de cualquier exclusión (véase 1.2).
b) Los procedimientos documentados establecidos para el sistema de gestión de la calidad, o referencia a los mismos, y c) Una descripción de la interacción entre los procesos del sistema de gestión de la calidad. 4.2.3. Control de los documentos Los documentos requeridos por el sistema de gestión de la calidad deben controlarse. Los registros son un tipo especial de documento y deben controlarse de acuerdo con los requisitos citados en 4.2.4. Debe establecerse un procedimiento documentado que defina los controles necesarios para : a) Aprobar los documentos en cuanto a su adecuación antes de su emisión, b) Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente, c) Asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos, d) Asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso, e) Asegurarse de que los documentos permanecen legibles y fácilmente identificables, f) Asegurarse de que se identifican los documentos de origen externo y se controla su distribución, y g) Prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón. 4.2.4. Control de los registros Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz del sistema de gestión de la calidad. Los registros deben permanecer legibles, fácilmente identificables y recuperables. Debe establecerse un procedimiento documentado para definir los controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de los registros. 5. Responsabilidad de la dirección 5.1. Compromiso de la dirección La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación del sistema de gestión de la calidad, así como con la mejora continua de su eficacia. a) Comunicando a la organización la importancia de satisfacer tanto los requisitos del cliente como los legales y reglamentarios, b) Estableciendo la política de la calidad, c) Asegurando que se establecen los objetivos de la calidad,
d) Llevando a cabo las revisiones por la dirección, y e) Asegurando la disponibilidad de recursos. 5.2. Enfoque al cliente La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de aumentar la satisfacción del cliente (véanse 7.2.1 y 8.2.1). 5.3. Política de la calidad La alta dirección debe asegurarse de que la política de la calidad. a) Es adecuada al propósito de la organización, b) Incluye un compromiso de cumplir con los requisitos y de mejorar continuamente la eficacia del sistema de gestión de la calidad, c) Proporciona un marco de referencia para establecer y revisar los objetivos de la calidad, d) Es comunicada y entendida dentro de la organización, y e) Es revisada para su continua adecuación. 5.4. Planificación 5.4.1. Objetivos de la calidad La alta dirección debe asegurarse de que los objetivos de la calidad, incluyendo aquéllos necesarios para cumplir los requisitos para el producto [véase 7.1 a)], se establecen en las funciones y niveles pertinentes dentro de la organización. Los objetivos de la calidad deben ser medibles y coherentes con la política de la calidad. 5.4.2. Planificación del sistema de gestión de la calidad La alta dirección debe asegurarse de que : a) La planificación del sistema de gestión de la calidad se realiza con el fin de cumplir los requisitos citados en 4.1, así como los objetivos de la calidad, y b) Se mantiene la integridad del sistema de gestión de la calidad cuando se planifican e implementan cambios en éste. 5.5. Responsabilidad, autoridad y comunicación 5.5.1. Responsabilidad y autoridad La alta dirección debe asegurarse de que las responsabilidades y autoridades están definidas y son comunicadas dentro de la organización. 5.5.2. Representante de la dirección La alta dirección debe designar un miembro de la dirección quien, con independencia de otras responsabilidades, debe tener la responsabilidad y autoridad que incluya: a) Asegurarse de que se establecen, implementan y mantienen los procesos necesarios para el sistema de gestión de la calidad, b) Informar a la alta dirección sobre el desempeño del sistema de gestión de la calidad y de cualquier necesidad de mejora, y c) Asegurarse de que se promueva la toma de conciencia de los requisitos del cliente en todos los niveles de la organización.
5.5.3. Comunicación interna La alta dirección debe asegurarse de que se establecen los procesos de comunicación apropiados dentro de la organización y de que la comunicación se efectúa considerando la eficacia del sistema de gestión de la calidad. 5.6. Revisión por la dirección 5.6.1. Generalidades La alta dirección debe, a intervalos planificados, revisar el sistema de gestión de la calidad de la organización, para asegurarse de su conveniencia, adecuación y eficacia continuas. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión de la calidad, incluyendo la política de la calidad y los objetivos de la calidad. Deben mantenerse registros de las revisiones por la dirección (véase 4.2.4). 5.6.2. Información para la revisión La información de entrada para la revisión por la dirección debe incluir : a) Resultados de auditorías, b) Retroalimentación del cliente, c) Desempeño de los procesos y conformidad del producto, d) Estado de las acciones correctivas y preventivas, e) Acciones de seguimiento de revisiones por la dirección previas, f) Cambios que podrían afectar al sistema de gestión de la calidad, y g) Recomendaciones para la mejora. 5.6.3. Resultados de la revisión Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con : a) La mejora de la eficacia del sistema de gestión de la calidad y sus procesos. b) La mejora del producto en relación con los requisitos del cliente, y c) Las necesidades de recursos. 6. Gestión de los recursos 6.1. Provisión de recursos La organización debe determinar y proporcionar los recursos necesarios para : a) Implementar y mantener el sistema de gestión de la calidad y mejorar continuamente su eficacia, y b) Aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos. 6.2. Recursos humanos 6.2.1. Generalidades El personal que realice trabajos que afecten a la calidad del producto debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas. 6.2.2. Competencia, toma de conciencia y formación
La organización debe : a) Determinar la competencia necesaria para el personal que realiza trabajos que afectan a la calidad del producto, b) Proporcionar formación o tomar otras acciones para satisfacer dichas necesidades, c) Evaluar la eficacia de las acciones tomadas, d) Asegurarse de que su personal es consciente de la pertinencia e importancia de sus actividades y de cómo contribuyen al logro de los objetivos de la calidad, y e) Mantener los registros apropiados de la educación, formación, habilidades y experiencia (véase 4.2.4). 6.3. Infraestructura La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto. La infraestructura incluye, cuando sea aplicable : a) Edificios, espacio de trabajo y servicios asociados, b) Equipo para los procesos, (tanto hardware como software), y c) Servicios de apoyo tales (como transporte o comunicación). 6.4. Ambiente de trabajo La organización debe determinar y gestionar el ambiente de trabajo necesario para lograr la conformidad con los requisitos del producto. 7. Realización del producto 7.1. Planificación de la realización del producto La organización debe planificar y desarrollar los procesos necesarios para la realización del producto. La planificación de la realización del producto debe ser coherente con los requisitos de los otros procesos del sistema de gestión de la calidad (véase 4.1). Durante la planificación de la realización del producto, la organización debe determinar, cuando sea apropiado, lo siguiente: a) Los objetivos de la calidad y los requisitos para el producto; b) La necesidad de establecer procesos, documentos y de proporcionar recursos específicos para el producto; c) Las actividades requeridas de verificación, validación, seguimiento, inspección y ensayo/prueba específicas para el producto así como los criterios para la aceptación del mismo; d) Los registros que sean necesarios para proporcionar evidencia de que los procesos de realización y el producto resultante cumplen los requisitos (véase 4.2.4). El resultado de esta planificación debe presentarse de forma adecuada para la metodología de operación de la organización. Un documento que especifica los procesos del sistema de gestión de la calidad (incluyendo los procesos de realización del producto) y los recursos que deben aplicarse a un producto, proyecto o contrato específico, puede denominarse como un
plan de la calidad. 7.2. Procesos relacionados con el cliente 7.2.1. Determinación de los requisitos relacionados con el producto La organización debe determinar : a) Los requisitos especificados por el cliente, incluyendo los requisitos para las actividades de entrega y las posteriores a la misma, b) Los requisitos no establecidos por el cliente pero necesarios para el uso especificado o para el uso previsto, cuando sea conocido, c) Los requisitos legales y reglamentarios relacionados con el producto, y d) Cualquier requisito adicional determinado por la organización. 7.2.2. Revisión de los requisitos relacionados con el producto La organización debe revisar los requisitos relacionados con el producto. Esta revisión debe efectuarse antes de que la organización se comprometa a proporcionar un producto al cliente (por ejemplo envío de ofertas, aceptación de contratos o pedidos, aceptación de cambios en los contratos o pedidos) y debe asegurarse de que : a) Están definidos los requisitos del producto, b) Están resueltas las diferencias existentes entre los requisitos del contrato o pedido y los expresados previamente, y c) La organización tiene la capacidad para cumplir con los requisitos definidos. d) Deben mantenerse registros de los resultados de la revisión y de las acciones originadas por la misma. Cuando el cliente no proporcione una declaración documentada de los requisitos, la organización debe confirmar los requisitos del cliente antes de la aceptación. Cuando se cambien los requisitos del producto, la organización debe asegurarse de que la documentación pertinente sea modificada y de que el personal correspondiente sea consciente de los requisitos modificados. En algunas situaciones, tales como las ventas por internet, no resulta práctico efectuar una revisión formal de cada pedido. En su lugar, la revisión puede cubrir la información pertinente del producto, como son los catálogos o el material publicitario. 7.2.3. Comunicación con el cliente La organización debe determinar e implementar disposiciones eficaces para la comunicación con los clientes, relativas a : a) La información sobre el producto, b) Las consultas, contratos o atención de pedidos, incluyendo las modificaciones, y c) La retroalimentación del cliente, incluyendo sus quejas. 7.3. Diseño y desarrollo 7.3.1 Planificación del diseño y desarrollo La organización debe planificar y controlar el diseño y desarrollo del
producto. Durante la planificación del diseño y desarrollo la organización debe determinar : a) Las etapas del diseño y desarrollo, b) La revisión, verificación y validación, apropiadas para cada etapa del diseño y desarrollo, y c) Las responsabilidades y autoridades para el diseño y desarrollo. La organización debe gestionar las interfaces entre los diferentes grupos involucrados en el diseño y desarrollo para asegurarse de una comunicación eficaz y una clara asignación de responsabilidades. Los resultados de la planificación deben actualizarse, según sea apropiado, a medida que progresa el diseño y desarrollo. 7.3.2. Elementos de entrada para el diseño y desarrollo Deben determinarse los elementos de entrada relacionados con los requisitos del producto y mantenerse registros . Estos elementos de entrada deben incluir : a) Los requisitos funcionales y de desempeño, b) Los requisitos legales y reglamentarios aplicables, c) La información proveniente de diseños previos similares, cuando sea aplicable, y d) Cualquier otro requisito esencial para el diseño y desarrollo. Estos elementos deben revisarse para verificar su adecuación. Los requisitos deben estar completos, sin ambigüedades y no deben ser contradictorios. 7.3.3 Resultados del diseño y desarrollo Los resultados del diseño y desarrollo deben proporcionarse de tal manera que permitan la verificación respecto a los elementos de entrada para el diseño y desarrollo, y deben aprobarse antes de su liberación. Los resultados del diseño y desarrollo deben : a) Cumplir los requisitos de los elementos de entrada para el diseño y desarrollo, b) Proporcionar información apropiada para la compra, la producción y la prestación del servicio, c) Contener o hacer referencia a los criterios de aceptación del producto, y d) Especificar las características del producto que son esenciales para el uso seguro y correcto. 7.3.4. Revisión del diseño y desarrollo En las etapas adecuadas, deben realizarse revisiones sistemáticas del diseño y desarrollo de acuerdo con lo planificado. a) Evaluar la capacidad de los resultados de diseño y desarrollo para cumplir los requisitos, e b) Identificar cualquier problema y proponer las acciones necesarias.
Los participantes en dichas revisiones deben incluir representantes de las funciones relacionadas con la(s) etapa(s) de diseño y desarrollo que se está(n) revisando. Deben mantenerse registros de los resultados de las revisiones y de cualquier acción necesaria. 7.3.5. Verificación del diseño y desarrollo Se debe realizar la verificación, de acuerdo con lo planificado (véase 7.3.1), para asegurarse de que los resultados del diseño y desarrollo cumplen los requisitos de los elementos de entrada del diseño y desarrollo. Deben mantenerse registros de los resultados de la verificación y de cualquier acción que sea necesaria. 7.3.6. Validación del diseño y desarrollo Se debe realizar la validación del diseño y desarrollo de acuerdo con lo planificado para asegurarse de que el producto resultante es capaz de satisfacer los requisitos para su aplicación especificada o uso previsto, cuando sea conocido Siempre que sea factible, la validación debe completarse antes de la entrega o implementación del producto. Deben mantenerse registros de los resultados de la validación y de cualquier acción que sea necesaria. 7.3.7. Control de los cambios del diseño y desarrollo Los cambios del diseño y desarrollo deben identificarse y deben mantenerse registros. Los cambios deben revisarse, verificarse y validarse, según sea apropiado, y aprobarse antes de su implementación. La revisión de los cambios del diseño y desarrollo debe incluir la evaluación del efecto de los cambios en las partes constitutivas y en el producto ya entregado. Deben mantenerse registros de los resultados de la revisión de los cambios y de cualquier acción que sea necesaria. 7.4. Compras 7.4.1. Proceso de compras La organización debe asegurarse de que el producto adquirido cumple los requisitos de compra especificados. El tipo y alcance del control aplicado al proveedor y al producto adquirido debe depender del impacto del producto adquirido en la posterior realización del producto o sobre el producto final. La organización debe evaluar y seleccionar los proveedores en función de su capacidad para suministrar productos de acuerdo con los requisitos de la organización. Deben establecerse los criterios para la selección, la evaluación y la reevaluación. Deben mantenerse los registros de los resultados de las evaluaciones y de cualquier acción necesaria que se derive de las mismas. 7.4.2. Información de las compras La información de las compras debe describir el producto a comprar, incluyendo, cuando sea apropiado : a) Requisitos para la aprobación del producto, procedimientos, procesos y equipos, b) Requisitos para la calificación del personal, y c) Requisitos del sistema de gestión de la calidad.
d) La organización debe asegurarse de la adecuación de los requisitos de compra especificados antes de comunicárselos al proveedor. 7.4.3. Verificación de los productos comprados La organización debe establecer e implementar la inspección u otras actividades necesarias para asegurarse de que el producto comprado cumple los requisitos de compra especificados. Cuando la organización o su cliente quieran llevar a cabo la verificación en las instalaciones del proveedor, la organización debe establecer en la información de compra las disposiciones para la verificación pretendida y el método para la liberación del producto. 7.5. Producción y prestación del servicio 7.5.1. Control de la producción y de la prestación del servicio La organización debe planificar y llevar a cabo la producción y la prestación del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable : a) La disponibilidad de información que describa las características del producto, b) La disponibilidad de instrucciones de trabajo, cuando sea necesario, c) El uso del equipo apropiado, d) La disponibilidad y uso de dispositivos de seguimiento y medición, e) La implementación del seguimiento y de la medición, y f) La implementación de actividades de liberación, entrega y posteriores a la entrega. 7.5.2. Validación de los procesos de la producción y de la prestación del servicio La organización debe validar aquellos procesos de producción y de prestación del servicio donde los productos resultantes no puedan verificarse mediante actividades de seguimiento o medición posteriores. Esto incluye a cualquier proceso en el que las deficiencias se hagan aparentes únicamente después de que el producto esté siendo utilizado o se haya prestado el servicio. La validación debe demostrar la capacidad de estos procesos para alcanzar los resultados planificados. La organización debe establecer las disposiciones para estos procesos, incluyendo, cuando sea aplicable : a) b) c) d) e)
Los criterios definidos para la revisión y aprobación de los procesos, La aprobación de equipos y calificación del personal, El uso de métodos y procedimientos específicos, Los requisitos de los registros, y La revalidación.
7.5.3. Identificación y trazabilidad Cuando sea apropiado, la organización debe identificar el producto por medios adecuados, a través de toda la realización del producto. La organización debe identificar el estado del producto con respecto a los requisitos de seguimiento y medición.
Cuando la trazabilidad sea un requisito, la organización debe controlar y registrar la identificación única del producto. 7.5.4. Propiedad del cliente La organización debe cuidar los bienes que son propiedad del cliente mientras estén bajo el control de la organización o estén siendo utilizados por la misma. La organización debe identificar, verificar, proteger y salvaguardar los bienes que son propiedad del cliente suministrados para su utilización o incorporación dentro del producto. Cualquier bien que sea propiedad del cliente que se pierda, deteriore o que de algún otro modo se considere inadecuado para su uso debe ser registrado y comunicado al cliente. 7.5.5. Preservación del producto La organización debe preservar la conformidad del producto durante el proceso interno y la entrega al destino previsto. Esta preservación debe incluir la identificación, manipulación, embalaje, almacenamiento y protección. La preservación debe aplicarse también, a las partes constitutivas de un producto. 7.6. Control de los dispositivos de seguimiento y de medición La organización debe determinar el seguimiento y la medición a realizar, y los dispositivos de medición y seguimiento necesarios para proporcionar la evidencia de la conformidad del producto con los requisitos determinados (véase 7.2.1). La organización debe establecer procesos para asegurarse de que el seguimiento y medición pueden realizarse y se realizan de una manera coherente con los requisitos de seguimiento y medición. Cuando sea necesario asegurarse de la validez de los resultados, el equipo de medición debe : a) Calibrarse o verificarse a intervalos especificados o antes de su utilización, comparado con patrones de medición trazables a patrones de medición nacionales o internacionales; cuando no existan tales patrones debe registrarse la base utilizada para la calibración o la verificación; b) Ajustarse o reajustarse según sea necesario; c) Identificarse para poder determinar el estado de calibración; d) Protegerse contra ajustes que pudieran invalidar el resultado de la medición; e) Protegerse contra los daños y el deterioro durante la manipulación, el mantenimiento y el almacenamiento. Además, la organización debe evaluar y registrar la validez de los resultados de las mediciones anteriores cuando se detecte que el equipo no está conforme con los requisitos. La organización debe tomar las acciones apropiadas sobre el equipo y sobre cualquier producto afectado. Deben mantenerse registros de los resultados de la calibración y la verificación. Debe confirmarse la capacidad de los programas informáticos para satisfacer su aplicación prevista cuando éstos se utilicen en las actividades de seguimiento y medición de los requisitos especificados. Esto debe llevarse a cabo antes de iniciar su utilización y confirmarse de nuevo cuando sea necesario. 8. Medición, análisis y mejora
8.1. Generalidades La organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para: a) Demostrar la conformidad del producto, b) Asegurarse de la conformidad del sistema de gestión de la calidad, y c) Mejorar continuamente la eficacia del sistema de gestión de la calidad. Esto debe comprender la determinación de los métodos aplicables, incluyendo las técnicas estadísticas, y el alcance de su utilización. 8.2. Seguimiento y medición 8.2.1. Satisfacción del cliente Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la organización. Deben determinarse los métodos para obtener y utilizar dicha información. 8.2.2. Auditoría interna La organización debe llevar a cabo a intervalos planificados auditorías internas para determinar si el sistema de gestión de la calidad : a) Es conforme con las disposiciones planificadas (véase 7.1), con los requisitos de esta Norma Internacional y con los requisitos del sistema de gestión de la calidad establecidos por la organización, y b) Se ha implementado y se mantiene de manera eficaz. Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio trabajo. Deben definirse, en un procedimiento documentado, las responsabilidades y requisitos para la planificación y la realización de auditorías, para informar de los resultados y para mantener los registros. La dirección responsable del área que esté siendo auditada debe asegurarse de que se toman acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación. 8.2.3. Seguimiento y medición de los procesos La organización debe aplicar métodos apropiados para el seguimiento, y cuando sea aplicable, la medición de los procesos del sistema de gestión de la calidad. Estos métodos deben demostrar la capacidad de los procesos para
alcanzar los resultados planificados. Cuando no se alcancen los resultados planificados, deben llevarse a cabo correcciones y acciones correctivas, según sea conveniente, para asegurarse de la conformidad del producto. 8.2.4. Seguimiento y medición del producto La organización debe medir y hacer un seguimiento de las características del producto para verificar que se cumplen los requisitos del mismo. Esto debe realizarse en las etapas apropiadas del proceso de realización del producto de acuerdo con las disposiciones planificadas (véase 7.1). Debe mantenerse evidencia de la conformidad con los criterios de aceptación. Los registros deben indicar la(s) persona(s) que autoriza(n) la liberación del producto. La liberación del producto y la prestación del servicio no deben llevarse a cabo hasta que se hayan completado satisfactoriamente las disposiciones planificadas, a menos que sean aprobados de otra manera por una autoridad pertinente y, cuando corresponda, por el cliente. 8.3. Control del producto no conforme La organización debe asegurarse de que el producto que no sea conforme con los requisitos, se identifica y controla para prevenir su uso o entrega no intencional. Los controles, las responsabilidades y autoridades relacionadas con el tratamiento del producto no conforme deben estar definidos en un procedimiento documentado. La organización debe tratar los productos no conformes mediante una o más de las siguientes maneras: a) Tomando acciones para eliminar la no conformidad detectada; b) Autorizando su uso, liberación o aceptación bajo concesión por una autoridad pertinente y, cuando sea aplicable, por el cliente; c) Tomando acciones para impedir su uso o aplicación originalmente previsto. Se deben mantener registros de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido. Cuando se corrige un producto no conforme, debe someterse a una nueva verificación para demostrar su conformidad con los requisitos. Cuando se detecta un producto no conforme después de la entrega o cuando ha comenzado su uso, la organización debe tomar las acciones apropiadas respecto a los efectos, o efectos potenciales, de la no conformidad. 8.4. Análisis de datos La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad y la eficacia del sistema de gestión de la calidad y para evaluar dónde puede realizarse la mejora continua de la eficacia del sistema de gestión de la calidad. Esto debe incluir los datos generados del resultado del seguimiento y medición y de cualesquiera otras fuentes pertinentes. El análisis de datos debe proporcionar información sobre : a) La satisfacción del cliente, b) La conformidad con los requisitos del producto, c) Las características y tendencias de los procesos y de los productos,
incluyendo las oportunidades para llevar a cabo acciones preventivas, y d) Los proveedores. 8.5. Mejora 8.5.1. Mejora continua La organización debe mejorar continuamente la eficacia del sistema de gestión de la calidad mediante el uso de la política de la calidad, los objetivos de la calidad, los resultados de las auditorías, el análisis de datos, las acciones correctivas y preventivas y la revisión por la dirección. 8.5.2. Acción correctiva La organización debe tomar acciones para eliminar la causa de no conformidades con objeto de prevenir que vuelva a ocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. Debe establecerse un procedimiento documentado para definir los requisitos para : a) Revisar las no conformidades (incluyendo las quejas de los clientes), b) Determinar las causas de las no conformidades, c) Evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidades no vuelvan a ocurrir, d) Determinar e implementar las acciones necesarias, e) Registrar los resultados de las acciones tomadas , y f) Revisar las acciones correctivas tomadas. 8.5.3 Acción preventiva La organización debe determinar acciones para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a los efectos de los problemas potenciales. Debe establecerse un procedimiento documentado para definir los requisitos para : a) Determinar las no conformidades potenciales y sus causas, b) Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades, c) Determinar e implementar las acciones necesarias, d) Registrar los resultados de las acciones tomadas, y e) Revisar las acciones preventivas tomadas.
EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000 [URL]
1. PRIMER PASO: Solicitud de acreditación Para solicitar la acreditación, debe desarrollar el apropiado formulario de solicitud y enviarlo a ENAC aportando toda la documentación que se indica en el mismo. Esta documentación servirá para conocer las características de su organización y el modo en el que se llevan a cabo las actividades para las que solicita la acreditación y para preparar adecuadamente la evaluación. Así mismo debe adjuntar el justificante de pago de la tarifa de apertura de expediente de acuerdo a las Tarifas en vigor. La información recibida por ENAC, tanto en la solicitud como a lo largo de todo el proceso de acreditación será considerada como CONFIDENCIAL. 1.1. Alcance de acreditación El alcance de Acreditación es una parte fundamental de la solicitud de acreditación ya que constituirá finalmente el Anexo Técnico que acompaña al “Certificado de Acreditación”. El solicitante de la acreditación establece el alcance para el que desea ser acreditado en función de sus necesidades y objetivos. La solicitud de acreditación para un alcance concreto es una declaración por parte de la entidad de su competencia técnica para todas las actividades incluidas en él y la evaluación de ENAC persigue, por tanto, determinar si la entidad es capaz de demostrar su competencia en la totalidad del alcance declarado. Para conocer en qué términos se debe definir el alcance dispone de instrucciones en cada uno de los formularios de solicitud. 1.2. Aceptación y revisión de la Solicitud Una vez recibida la solicitud de acreditación, ENAC revisa la documentación suministrada con objeto de comprobar que la actividad es susceptible de ser acreditada y comunica al solicitante el número de expediente asignado, y el técnico responsable de coordinar su proceso de acreditación. El técnico responsable del expediente verifica que el alcance de las actividades a acreditar está claramente definido y confirma que se ha aportado toda la información necesaria para preparar y realizar adecuadamente la evaluación. Si la documentación no fuera completa o adecuada se pedirá al solicitante que la complete. Si todo es correcto, y antes de iniciar la evaluación, ENAC remite al solicitante para su aceptación un presupuesto estimado del coste del proceso. 2. SEGUNDO PASO. Evaluación 2.1. Designación del equipo auditor ENAC designa, de entre sus auditores y expertos calificados, al equipo auditor que llevará a cabo, el proceso de evaluación que contará con un auditor jefe, responsable final de la auditoría, y tantos expertos técnicos
como sean necesarios en función de las actividades para las que la entidad solicita la acreditación. ENAC informa al solicitante de los nombres de los miembros del equipo auditor y, en su caso, de la organización a la que pertenecen. Si la entidad entiende que hay motivos que pudieran comprometer su imparcialidad puede recusarlos por escrito, aportando los motivos. 2.2. Estudio documental Previo a la auditoría “in situ” se realiza un estudio de los documentos técnicos de la entidad. El informe con el resultado del estudio se envía a la entidad para que adopte las medidas que considere oportunas para resolver, en su caso, los problemas identificados. 2.3. Auditoría y visitas de acompañamiento Una vez se considera satisfactorio el estudio documental, el auditor jefe se pone en contacto con la entidad para fijar la fecha de la auditoría y le envía un Programa de Auditoría. Durante la auditoría, se evalúa el sistema de gestión de la entidad, su funcionamiento, la ejecución de las actividades y la implantación de los requisitos de acreditación. Con objeto de verificar la correcta aplicación e interpretación de los procedimientos de trabajo y la competencia técnica del personal se seleccionan actividades representativas del alcance de acreditación para presenciar la actuación del personal técnico. • •
•
En laboratorios de ensayo se solicita la realización de una muestra representativa de los ensayos que son objeto de acreditación. En laboratorios de calibración, se solicita la calibración de un “patrón de transferencia”, previamente calibrado por un laboratorio acreditado, que proporciona el equipo auditor. En entidades de inspección, certificación y verificadores se realizan visitas de acompañamiento en las que los expertos técnicos presencian la actuación de los auditores / inspectores.
Al final de la auditoría el equipo auditor presentará a los representantes de la entidad un resumen de los resultados de la investigación y las desviaciones detectadas respecto a los criterios de acreditación. 2.4. Informe del equipo auditor Tras la realización de la auditoría se facilita a la entidad un informe escrito elaborado por el equipo auditor con los resultados de la evaluación realizada. 2.5. Respuesta del solicitante La entidad debe analizar las causas de las desviaciones que se han detectado, revisar la repercusión que pueden tener en el resto de actividades relacionadas y remitir a ENAC un plan de acciones correctoras, aportando evidencias que demuestren que han recibido el tratamiento adecuado para su resolución.
La entidad podrá alegar aquellos extremos del informe con los que se encuentre disconforme, aportando todas las evidencias que considere necesarias.
3. TERCER PASO: Decisión de Acreditación Las decisiones de acreditación son tomadas por un órgano técnico independiente denominado Comisión de Acreditación. Para conceder la acreditación, la Comisión de Acreditación debe obtener la confianza adecuada en que se cumplen los requisitos de acreditación y en que las desviaciones detectadas en su caso, han sido convenientemente tratadas. Para ello analiza la información generada durante el proceso de evaluación y basándose en ello adopta una de estas decisiones: • •
Conceder la acreditación. Determinar las actividades de evaluación extraordinarias que sean necesarias para asegurarse de la subsanación de las desviaciones detectadas.
En caso de disconformidad con la decisión, la entidad puede dirigirse al Comité Permanente, formulando cuantas alegaciones tenga por oportunas. 3.1. Certificado de Acreditación En el Certificado de Acreditación se expresan específicamente: • • •
Nombre de la entidad y número de la acreditación concedida. Alcance de la acreditación, por referencia a un documento llamado Anexo Técnico al certificado. Fecha de entrada en vigor de la acreditación.
La entidad acreditada tiene derecho a hacer uso de la marca de ENAC o referencia a su condición de acreditado en las condiciones establecidas en el documento CEAENAC01 “Criterios para la utilización de la marca ENAC o referencia a la condición de acreditado”. 4. MANTENIMIENTO DE LA ACREDITACIÓN La acreditación no es el resultado de un proceso puntual. ENAC evalúa regularmente a las entidades acreditadas, comprobando que mantienen su competencia técnica mediante visitas de seguimiento y auditorías de reevaluación. La frecuencia de las visitas se establece en función de los resultados previos. 4.1. Seguimientos La primera visita de seguimiento se realiza en un plazo no superior a un año desde la concesión de la acreditación y los siguientes seguimientos se realizan no más tarde de 18 meses desde la última visita, notificando la fecha a la entidad con antelación. 4.2. Reevaluaciones Transcurridos como máximo 4 años desde la fecha inicial de acreditación se
reevalua la competencia de la entidad, realizando una auditoría equivalente a la inicial. La siguiente auditoría de reevaluación a la entidad se programará en un plazo no superior a 5 años desde la anterior. 5. AMPLIACIÓN DEL ALCANCE DE ACREDITACIÓN Las entidades acreditadas pueden ampliar el alcance de su acreditación. Para ello deben solicitar formalmente dicha ampliación, utilizando los formularios de solicitud. Para evaluar esta ampliación se aplica el proceso de evaluación ya descrito, simplificado según proceda en función del volumen y carácter de dicha ampliación. Los costes del proceso de evaluación pueden reducirse si la ampliación coincide con una visita de seguimiento. 6. COSTE DE LA ACREDITACIÓN Puede consultar las tarifas aplicables a la acreditación para los distintos esquemas (laboratorios, inspección, certificación de producto, certificación de sistemas de gestión,...) en la sección Tarifas. El coste del proceso incluye una tarifa correspondiente a la tramitación y gestión del proceso y el coste correspondiente al número de días de auditor necesarios para llevar a cabo la evaluación que está. en función del alcance de acreditación y las características de la entidad. Previo a la realización de una evaluación, ENAC remite al solicitante un presupuesto con el coste estimado del proceso para su aceptación. Las entidades acreditadas pagan una tarifa anual por el mantenimiento de la acreditación.
FUENTES: ISO: International Organization for Standarization, About, , http://www.iso.org/iso/about.htm ISOES: , ISO 27000 FAQ, , http://www.iso27000.es/faqs.html 27000,ORG: , An Introduction To ISO 27k, , http://www.27000.org ANISO: Alejandro Corletti Estrada, ANÁLISIS DE ISO27001:2005, Madrid, abril de 2006. ISMS: , Internacional Register of ISMS Certificates, , http://www.iso27001certificates.com/ IAF: , Internationa Acreditation Foro, , http://www.compad.com.au/clients/iaf/indexPrev.php? updaterUrlPrev=articles&artId=194 ONGEI: , Oficina Nacional de Gobierno Electrónico e Informática, , http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01PCMISO17799001V2.pdf ISOES: ISO9001, http://www.iso9001.com.es/, REQ: http://www.congresoson.gob.mx/ISO/ISO90012000_Requisitos.pdf, ISO 9001 REQUISITOS, URL: ENAC Entidad Nacional de Acreditación, http://www.enac.es/,
CURSO:
CONTROL Y CALIDAD DE SOFTWARE
ISO 27000 ISO 9001:2000 Cruz Cóndor Miguel Saforas Contreras Danny Velazco Mendoza Luis Zarate Chamorro Roy
HUANCAYO 2008
CONTENIDO INTRODUCCIÓN................................................................................................................................5 I. QUÉ ES ISO.....................................................................................................................................6 II. ¿QUÉ ES SGSI?..............................................................................................................................6 III. ESTRUCTURA DE LA ORGANIZACIÓN..................................................................................6 IV. ANTECEDENTES.........................................................................................................................7 V. PRINCIPALES NORMAS ISO.......................................................................................................7 VI. ISO 27000.......................................................................................................................................8 ¿Qué es la norma ISO 27000?.........................................................................................................8 Familias............................................................................................................................................8 ISO 27001....................................................................................................................................8 ISO 27002...................................................................................................................................9 ISO 27003...................................................................................................................................9 ISO 27004...................................................................................................................................9 ISO 27005...................................................................................................................................9 ISO 27006...................................................................................................................................9 ¿Qué tipo de empresas se están certificando en ISO 27001?.........................................................10 Consideraciones clave para el estándar..........................................................................................10 Cómo implantar ISO 27001...........................................................................................................10 Certificación...................................................................................................................................11 Implantación del SGSI...................................................................................................................11 Auditoría y certificación................................................................................................................13 Organizaciones de certificación.....................................................................................................14 Estándares certificables:.................................................................................................................14 ISMS Standards.........................................................................................................................14 New ISO series of 27000 standards......................................................................................14 ISMS Specifications.............................................................................................................14 Auditing Standards...............................................................................................................14 Accreditation Standards........................................................................................................15 Control Standards.................................................................................................................15 PROCESO DE CERTIFICACIÓN................................................................................................16 ¿Qué es una entidad de certificación?............................................................................................17 El auditor........................................................................................................................................17 ISO 27k en el Perú.........................................................................................................................18 Breve resumen del estándar............................................................................................................18 VII. ISO 9001:2000............................................................................................................................23 SERIE DE NORMAS ISO 9000:2000..........................................................................................23 1. UNEENISO 9001:2000. ....................................................................................................23 2. UNEENISO 9004:2000. ....................................................................................................23 3. UNEENISO 9000:2000. ....................................................................................................23 ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS...................24 1. Objeto y campo de aplicación ..............................................................................................24 Generalidades ......................................................................................................................24 1.1 Aplicación.......................................................................................................................24 1.2 Aplicación.......................................................................................................................24 2. Referencias normativas ........................................................................................................24 3. Términos y definiciones........................................................................................................24 4. Sistema de gestión de la calidad............................................................................................25 4.1 Requisitos generales ......................................................................................................25
4.2 Requisitos de la documentación ....................................................................................25 4.2.1. Generalidades ........................................................................................................25 4.2.2. Manual de la calidad .............................................................................................25 4.2.3. Control de los documentos ...................................................................................26 4.2.4. Control de los registros .........................................................................................26 5. Responsabilidad de la dirección ...........................................................................................26 5.1. Compromiso de la dirección .........................................................................................26 5.2. Enfoque al cliente .........................................................................................................27 5.3. Política de la calidad .....................................................................................................27 5.4. Planificación .................................................................................................................27 5.4.1. Objetivos de la calidad ..........................................................................................27 5.4.2. Planificación del sistema de gestión de la calidad ................................................27 5.5. Responsabilidad, autoridad y comunicación ................................................................27 5.5.1. Responsabilidad y autoridad .................................................................................27 5.5.2. Representante de la dirección ...............................................................................27 5.5.3. Comunicación interna ...........................................................................................28 5.6. Revisión por la dirección ..............................................................................................28 5.6.1. Generalidades ........................................................................................................28 5.6.2. Información para la revisión .................................................................................28 5.6.3. Resultados de la revisión ......................................................................................28 6. Gestión de los recursos .........................................................................................................28 6.1. Provisión de recursos ....................................................................................................28 6.2. Recursos humanos ........................................................................................................28 6.2.1. Generalidades ........................................................................................................28 6.2.2. Competencia, toma de conciencia y formación ....................................................28 6.3. Infraestructura ...................................................................................................................29 6.3. Infraestructura ..............................................................................................................29 6.4. Ambiente de trabajo .....................................................................................................29 7. Realización del producto ......................................................................................................29 7.1. Planificación de la realización del producto .................................................................29 7.2. Procesos relacionados con el cliente .............................................................................30 7.2.1. Determinación de los requisitos relacionados con el producto .............................30 7.2.2. Revisión de los requisitos relacionados con el producto .......................................30 7.2.3. Comunicación con el cliente .................................................................................30 7.3. Diseño y desarrollo .......................................................................................................30 7.3.1 Planificación del diseño y desarrollo ..................................................................30 7.3.2. Elementos de entrada para el diseño y desarrollo .................................................31 7.3.3 Resultados del diseño y desarrollo ......................................................................31 7.3.4. Revisión del diseño y desarrollo ...........................................................................31 7.3.5. Verificación del diseño y desarrollo .....................................................................32 7.3.6. Validación del diseño y desarrollo ........................................................................32 7.3.7. Control de los cambios del diseño y desarrollo .....................................................32 7.4. Compras .......................................................................................................................32 7.4.1. Proceso de compras ...............................................................................................32 7.4.2. Información de las compras ..................................................................................32 7.4.3. Verificación de los productos comprados .............................................................33 7.5. Producción y prestación del servicio ............................................................................33 7.5.1. Control de la producción y de la prestación del servicio .......................................33 7.5.2. Validación de los procesos de la producción y de la prestación del servicio ........33 7.5.3. Identificación y trazabilidad .................................................................................33
7.5.4. Propiedad del cliente .............................................................................................34 7.5.5. Preservación del producto .....................................................................................34 7.6. Control de los dispositivos de seguimiento y de medición ..........................................34 Medición, análisis y mejora .....................................................................................................34 8.1. Generalidades ................................................................................................................35 8.2. Seguimiento y medición ...............................................................................................35 8.2.1. Satisfacción del cliente ..........................................................................................35 8.2.2. Auditoría interna ...................................................................................................35 8.2.3. Seguimiento y medición de los procesos ..............................................................35 8.2.4. Seguimiento y medición del producto ..................................................................36 8.3. Control del producto no conforme ...............................................................................36 8.4. Análisis de datos ...........................................................................................................36 8.5. Mejora ...........................................................................................................................37 8.5.1. Mejora continua ...................................................................................................37 8.5.2. Acción correctiva ..................................................................................................37 8.5.3 Acción preventiva ................................................................................................37 EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000...........................................................38
INTRODUCCIÓN El presente trabajo es un muy breve resumen de los aspectos más importantes a tener en cuenta para la aplicación del Estándar Internacional ISO 27000 e ISO 9001:2000 y sus variantes, y una breve guía para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar. Se resalta la descripción de la variante ISO 27001 por ser prometedor y de uso indirecto en el el gobierno peruano mediante la Norma Técnica Peruana NTPISO / IEC 17799:2007. Por el lado de ISO 9001:2000, se señala los requerimientos indispensables para obtener la certificación, como también el proceso adecuado para iniciar el plan de calidad.
I. QUÉ ES ISO “ISO (International Organization for Standardization) is the world's largest developer and publisher of International Standards. ISO is a network of the national standards institutes of 157 countries, one member per country, with a Central Secretariat in Geneva, Switzerland, that coordinates the system. ISO is a nongovernmental organization that forms a bridge between the public and private sectors. On the one hand, many of its member institutes are part of the governmental structure of their countries, or are mandated by their government. On the other hand, other members have their roots uniquely in the private sector, having been set up by national partnerships of industry associations.”[ISO] “ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.”[ISOES] II. ¿QUÉ ES SGSI? “Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información.”[ISOES]
III. ESTRUCTURA DE LA ORGANIZACIÓN La Organización ISO está compuesta por tres tipos de miembros: • •
•
Miembros natos, uno por país, recayendo la representación en el organismo nacional más representativo. Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen. Miembros suscritos, países con reducidas economías a los que se les exige el pago
de tasas menores que a los correspondientes. ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera estrechamente con la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC) que es responsable de la estandarización de equipos eléctricos. IV. ANTECEDENTES La Organización Internacional para la Estandarización nace después de la Segunda Guerra Mundial (fue creada el 23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. La ISO es una red de los institutos de normas nacionales de 157 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra, Suiza, que coordina el sistema. La Organización Internacional de Normalización (ISO), con base en Ginebra, Suiza, está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento ambiental. Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país. Es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ON) nacionales, que produce normas internacionales industriales y comerciales. Dichas normas se conocen como Normas ISO y su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir con unos Estándares comunes para el desarrollo y transferencia de tecnologías. V. PRINCIPALES NORMAS ISO Algunos estándares son los siguientes: • ISO 216 — Medidas de papel: p.e. ISO A4 • ISO 639 — Nombres de lenguas • ISO 690:1987 — Regula las citas bibliográficas (corresponde a la norma UNE 50104:1994) • ISO 6902:1997 — Regula las citas bibliográficas de documentos electrónicos • ISO 732 — Formato de carrete de 120 • ISO 838 — Estándar para perforadoras de papel • ISO 1007 — Formato de carrete de 135 • ISO/IEC 15391 — Lenguaje de programación Fortran • ISO 3029 — Formato carrete de 126 • ISO 3166 — Códigos de países • ISO 4217 — Códigos de divisas • ISO 7811 — Técnica de grabación en tarjetas de identificación • ISO 8601 — Representación del tiempo y la fecha. Adoptado en Internet mediante el Date and Time Formats de W3C que utiliza UTC • ISO 8859 — Codificaciones de caracteres que incluye ASCII como un subconjunto
• • • • • • • • • • • • • • • • • • • • • • •
(Uno de ellos es el ISO 88591, que permite codificar las lenguas originales de Europa occidental, como el español) ISO/IEC 8652:1995 — Lenguaje de programación Ada ISO 9000 — Sistemas de Gestión de la Calidad – Fundamentos y vocabulario ISO 9001 — Sistemas de Gestión de la Calidad – Requisitos ISO 9004 — Sistemas de Gestión de la Calidad – Directrices para la mejora del desempeño ISO 9660 — Sistema de archivos de CDROM ISO 9899 — Lenguaje de programación C ISO 10279 — Lenguaje de programación BASIC ISO 10646 — Universal Character Set ISO/IEC 11172 — MPEG1 ISO/IEC 12207 — Tecnología de la información / Ciclo de vida del software ISO 13450 — Formato de carrete de 110 ISO/IEC 13818 — MPEG2 ISO 14000 — Estándares de Gestión Medioambiental en entornos de producción ISO/IEC 14496 — MPEG4 ISO/IEC 15444 — JPEG 2000 ISO 15693 — Estándar para «tarjetas de vecindad» ISO 22000 Inocuidad en alimentos. ISO 26300 — OpenDocument ISO/IEC 17025 — Requisitos generales relativos a la competencia de los laboratorios de ensayo y calibración ISO/IEC 26300 — OpenDocument Format (.odf) ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información ISO/IEC 20000 — Tecnología de la información. Gestión del servicio ISO 32000 — Formato de Documento Portátil (.pdf)
VI. ISO 27000
¿Qué es la norma ISO 27000? “ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.”[ISOES] Familias ISO 27001 “Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (PlanDoCheckAct; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI
según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.”[ISOES] “The objective of the standard itself is to "provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an Information Security Management System". Regarding its adoption, this should be a strategic decision. Further, "The design and implementation of an organization's ISMS is influenced by their needs and objectives, security requirements, the process employed and the size and structure of the organization".”[27000,ORG] ISO 27002 “Su origen está en la norma de BSI (British Standards Institution) BS7799Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. No es certificable. “[ISOES] ISO 27003 “The purpose of this proposed development is to provide help and guidance in implementing an ISMS (Information Security Management System). This will include focus upon the PDCA method, with respect to establishing, implementing reviewing and improving the ISMS itself. ISO committee SC27 will oversee the development, as with other information security standards.However, this is a longer term project, and publication is not expected until late in 2008 or early in 2009.”[27000,ORG] ISO 27004 “ISO 27004 is the official number of the emerging standard covering information security management measurement and metrics. Again, however, it is not expected to be published in the immediate term. However, its development is well underway, being at stage 3, working draft level. It is intended to help an organization establish the effectiveness of its ISMS implementation, embracing benchmarking and performance targeting within the PDCA cycle.”[27000,ORG] ISO 27005 “ISO 27005 is the name of the prime 27000 series standard covering information security risk management. The standard provides guidelines for information security risk management (ISRM) in an organization, specifically supporting the requirements of an information security management system defined by ISO 27001. The ISO 27005 standard comprises 55 pages, and is applicable to all types of organization. It does not provide or recommend a specific methodology. This will depend upon a number of factors, such as the actual scope of the Information Security Management System (ISMS), or perhaps the industry/commercial sector.”[27000,ORG] ISO 27006 “The ISO 27001 standard was published in October 2005, essentially replacing the old BS77992 standard. It is the specification for an ISMS, an Information Security
Management System. BS7799 itself was a long standing standard, first published in the nineties as a code of practice. As this matured, a second part emerged to cover management systems. It is this against which certification is granted. Today in excess of a thousand certificates are in place, across the world. ISO 27001 enhanced the content of BS77992 and harmonized it with other standards. A scheme has been introduced by various certification bodies for conversion from BS7799 certification to ISO27001 certification. The objective of the standard itself is to "provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an Information Security Management System". Regarding its adoption, this should be a strategic decision. Further, "The design and implementation of an organization's ISMS is influenced by their needs and objectives, security requirements, the process employed and the size and structure of the organization".”[27000,ORG] ¿Qué tipo de empresas se están certificando en ISO 27001? “El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes.”[ISOES] Consideraciones clave para el estándar Según [ANISO] la propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)” (como podrán apreciar que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: ●
ISMS.
●
Valoración de riegos (Risk Assesment)
●
Controles
Cómo implantar ISO 27001 Según [ISOES]: ●
Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http:// www.iso.org), AENOR (http://www.aenor.es) en España, DGN
(http://www.economia.gob.mx/index.jsp?P=85) en México, ICONTEC (http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO). ●
Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).
●
Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer.
●
En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización.
●
Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc
●
Paralelamente, formar y concienciar a todo el personal.
●
Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada.
●
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “preauditoria” muy recomendable para afrontar con garantías una primera certificación en la norma.
Certificación La norma ISO 27001, al igual que su antecesora BS 77992, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. Implantación del SGSI Según [ISOES] “El paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación” El ISO 27001 exige que el SGSI contemple los siguientes puntos: ●
Implicación de la Dirección.
●
Alcance del SGSI y política de seguridad.
●
Inventario de todos los activos de información.
●
Metodología de evaluación del riesgo.
●
Identificación de amenazas, vulnerabilidades e impactos.
●
Análisis y evaluación de riesgos.
●
Selección de controles para el tratamiento de riesgos.
●
Aprobación por parte de la dirección del riesgo residual.
●
Declaración de aplicabilidad.
●
Plan de tratamiento de riesgos.
●
Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
●
Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
●
Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
●
Monitorización constante y registro de todas las incidencias.
●
Realización de auditorías internas.
●
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
●
Mejora continua del SGSI.
La documentación del SGSI deberá incluir: ●
Política y objetivos de seguridad.
●
Alcance del SGSI.
●
Procedimientos y controles que apoyan el SGSI.
●
Descripción de la metodología de evaluación del riesgo.
●
Informe resultante de la evaluación del riesgo.
●
Plan de tratamiento de riesgos.
●
Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
●
Registros.
●
Declaración de aplicabilidad (SOA Statement of Applicability).
●
Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: ●
Política de seguridad.
●
Asignación de responsabilidades de seguridad.
●
Formación y capacitación para la seguridad.
●
Registro de incidencias de seguridad.
●
Gestión de continuidad del negocio.
●
Protección de datos personales.
●
Salvaguarda de registros de la organización.
●
Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra. Auditoría y certificación Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma: ●
Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
●
Respuesta en forma de oferta por parte de la entidad certificadora.
●
Compromiso.
●
Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
●
Preauditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
●
Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
●
Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
●
Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
●
Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del
sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. ●
Auditoría de recertificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.
Organizaciones de certificación Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 77992) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación. Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente. Estándares certificables: Según y al a fecha 25set08 [ISMS] “ ISMS Standards New ISO series of 27000 standards ●
ISO/IEC 27000 Fundamentals and vocabulary
●
ISO/IEC 27001 ISMS Requirements (revised BS 7799 Part 2:2005) Published 15th Oct 2005
●
ISO/IEC 27002 Code of practice for information security management as from April 2007 currently ISO/IEC 17799:2005, published 15th June 2005
●
ISO/IEC 27003 ISMS implementation guidance (under development)
●
ISO/IEC 27004 Information security management measurement (under development)
●
ISO/IEC 27005 Information security risk management (based on and incorporating ISO/IEC 13335 MICTS Part 2) (under development)
●
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems Published 15th February 2007
●
ISO/IEC 27007 Guidelines for information security management systems auditing (under development)
ISMS Specifications ●
ISO/IEC 27001:2005 ISMS Requirements (revised version of BS 77992:2002 Information security management systems – specification with guidance for use.)
●
ISO 9001:2000 Quality Management Systems – Requirements
Auditing Standards
●
ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing
Accreditation Standards ●
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and certification of management systems
●
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
Control Standards ●
ISO/IEC 27002:2005 Code of practice for information security management
PROCESO DE CERTIFICACIÓN
¿Qué es una entidad de certificación? Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. Revisando [IAF] (International Acreditation Foro), no se encontró en Perú una entidad de Certificación El más próximo es Chile: Instituto Nacional de Normalizacion (INN) y Brasil con General Coordination for Accreditation Cgcre, of National Institute of Metrology, Standardization and Industrial Quality (INMETRO) En España, es ENAC (Entidad Nacional de Acreditación) La acreditación de entidades de certificación para ISO 27001 o para BS 77992 antes de derogarse suele hacerse en base al documento EA 7/03 (ANEXO 1) "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European cooperation for Accreditation). El auditor El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores: ●
de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;
●
de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;
●
de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de
la materia para la que está certificado. ISO 27k en el Perú “Según RESOLUCIÓN MINISTERIAL Nº 2462007PCM Aprueban uso obligatorio de la Norma Técnica Peruana “NTPISO / IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática.”[ONGEI] La norma está basada en ISO/IEC 17799:2006, equivalente a ISO/IEC 27002. Breve resumen del estándar Según [ANISO]: 0. Introducción: 0.1 General: Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones. 0.2. Aproximación (o aprovechamiento) del modelo: Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos. Este estándar internacional adopta también el modelo “PlanDoCheckAct” (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente: ●
Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.
●
Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
●
Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
●
Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.
1.2. Aplicación: Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad
de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma. Estas cláusulas son: 4. ISMS. 5. Responsabilidades de la Administración 6. Auditoría Interna del ISMS 7. Administración de las revisiones del ISMS 8. Mejoras del ISMS. (Estas cláusulas realmente conforman el cuerpo principal de esta norma) Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente. 2. Normativas de referencia: Para la aplicación de este documento, es indispensable tener en cuenta la última versión de: “ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management” 3. Términos y definiciones: La siguiente terminología aplica a esta norma: 3.1. Recurso (Asset): Cualquier cosa que tenga valor para la organización. 3.2. Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada. 3.3. Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos. 3.4. Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas. 3.5. Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad. 3.6. Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información. 3.7. Sistema de administración de la seguridad de la información (ISMS: Information
Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. NOTA: el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. 3.8. Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos. 3.9. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad. 3.10. Aceptación de riesgo: Decisión de aceptar un riesgo. 3.11. Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos. 3.12. Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo. 3.13. Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo. ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial. 3.14. Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización. revisará, mantendrá ymejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2. 4.3.2. Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para: ●
Aprobar documentos y prioridades o clasificación de empleo.
●
Revisiones, actualizaciones y reaprobaciones de documentos.
●
Asegurar que los cambios y las revisiones de documentos sean identificados.
●
! Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
●
Asegurar que los documentos permanezcan legibles y fácilmente identificables.
●
Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
●
Asegurar que los documentos de origen externo sean identificados.
●
Asegurar el control de la distribución de documentos.
●
Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito
5. Responsabilidades de administración: 5.1. La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de: ●
Establecimiento de la política del ISMS
●
Asegurar el establecimiento de los objetivos y planes del ISMS.
●
Establecer roles y responsabilidades para la seguridad de la información.
●
Comunicar y concienciar a la organización sobre la importancia y apoyo necesario alos objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.
●
Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS (5.2.1).
●
Decidir los criterios de aceptación de riesgos y los niveles del mismo.
●
Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a la administración para la revisión del ISMS (ver 7.)
5.2.2. Formación, preparación y competencia: La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación). 6. Auditoría interna del ISMS: La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él. La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento (Ver: Procedimiento de Revisión del ISMS Periódicas y aperiódicas 7. Administración de las revisiones del ISMS: Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto anterior serán claramente documentados y los mismos darán origen a esta actividad. Esta actividad está constituida por la revisión de entradas (7.2.) y la de salidas (7.3.) y dará como resultado el documento correspondiente (Ver: Documento de administración de las revisiones del ISMS). 8. Mejoras al ISMS La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración. 8.2. Acciones correctivas:
La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos. Cada una de estas acciones correctivas deberá ser documentada (Ver: Documento de acciones correctivas) El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD (guía de administración de riesgos de sistemas de información y redes París, Julio del 2002, “www.oecd.org”) y su correspondencia con el modelo PDCA. Por último el Anexo C, también informativo, resume la correspondencia entre esta norma y los estándares ISO 9001:2000 y el ISO 14001:2004
VII.ISO 9001:2000 [ISOES] La Norma Internacional, ISO 9001, fue preparada por el Comité Técnico ISO/TC 176, Gestión y Aseguramiento de la Calidad, Subcomité SC 2, Sistemas de la Calidad. Esta tercera edición de la Norma ISO 9001 anula y reemplaza la segunda edición (ISO 9001:1994), así como a las Normas ISO 9002:1994 e ISO 9003:1994. Esta edición de la Norma ISO 9001 incorpora un título revisado, en el cual ya no se incluye el término "Aseguramiento de la calidad". De esta forma se destaca el hecho de que los requisitos del sistema de gestión de la calidad establecidos en esta edición de la Norma ISO 9001, además del aseguramiento de la calidad del producto pretenden también aumentar la satisfacción del cliente. Las normas ISO 9000 de 1994 estaban principalmente pensadas para organizaciones que realizaban proceso productivo y, por tanto, su implantación en las empresas de servicios era muy dura y por eso se sigue en la creencia de que es un sistema bastante burocrático. Con la revisión de 2000 se ha conseguido una norma bastante menos burocrática para organizaciones de todo tipo, y además se puede aplicar sin problemas en empresas de servicios e incluso en la Administración Pública. Para verificar que se cumple con los requisitos de la norma, existen unas entidades de certificación que dan sus propios certificados y permiten el sello. Estas entidades están vigiladas por organismos nacionales que les dan su acreditación. Para la implantación, es muy conveniente que apoye a la organización una empresa de consultoría, que tenga buenas referencias, y el firme compromiso de la Dirección de que quiere implantar el Sistema, ya que es necesario dedicar tiempo del personal de la empresa para implantar el Sistema de gestión de la calidad. SERIE DE NORMAS ISO 9000:2000 [ISOES] 1. UNEENISO 9001:2000. Sistema de Gestión de la Calidad. Requisitos. Define los elementos mínimos de un Sistema de Gestión de la Calidad necesarios para lograr la satisfacción del cliente. Su propósito es la certificación. 2. UNEENISO 9004:2000. Sistema de gestión de la calidad. Directrices para la Mejora del desempeño. Proporciona una guía más allá de los requisitos mínimos para el establecimiento, operación y mejora continua de un sistema de gestión de la calidad. 3. UNEENISO 9000:2000. Sistemas de gestión de la calidad. Fundamento y vocabulario.
ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS [REQ] 1. Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización a) Necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables, y b) Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los reglamentarios aplicables. En esta Norma Internacional, el término "producto" se aplica únicamente al producto destinado a un cliente o solicitado por él. 1.2 Aplicación Todos los requisitos de esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo, tamaño y producto suministrado. Cuando uno o varios requisitos de esta Norma Internacional no se puedan aplicar debido a la naturaleza de la organización y de su producto, pueden considerarse para su exclusión.
2. Referencias normativas El documento normativo, contiene disposiciones que, a través de referencias, constituyen disposiciones de esta Norma Internacional. No obstante, se recomienda a las partes que basen sus acuerdos en esta Norma Internacional que investiguen la posibilidad de aplicar la edición más reciente del documento normativo. Los miembros de CEI e ISO mantienen el registro de las Normas Internacionales vigentes. 3. Términos y definiciones Para el propósito de esta Norma Internacional, son aplicables los términos y definiciones dados en la Norma ISO 9000. A lo largo del texto de la Norma Internacional, cuando se utilice el término "producto", éste
puede significar también "servicio". 4. Sistema de gestión de la calidad 4.1.Requisitos generales La organización debe establecer, documentar, implementar y mantener un sistema de gestión de la calidad y mejorar continuamente su eficacia de acuerdo con los requisitos de esta Norma Internacional. La organización debe : a) Identificar los procesos necesarios para el sistema de gestión de la calidad y su aplicación. b) Determinar la secuencia e interacción de estos procesos. c) Determinar los criterios y métodos necesarios para asegurarse de que tanto la operación como el control de estos procesos sean eficaces. d) Asegurarse de la disponibilidad de recursos e información necesarios para apoyar la operación y el seguimiento de estos procesos. e) Realizar el seguimiento, la medición y el análisis de estos procesos, e f) Implementar las acciones necesarias para alcanzar los resultados planificados y la mejora continua de estos procesos. 4.2. Requisitos de la documentación 4.2.1. Generalidades La documentación del sistema de gestión de la calidad debe incluir : a) Declaraciones documentadas de una política de la calidad y de objetivos de la calidad, b) Un manual de la calidad, c) Los procedimientos documentados requeridos en esta Norma Internacional, d) Los documentos necesitados por la organización para asegurarse de la eficaz planificación, operación y control de sus procesos, y e) Los registros requeridos por esta Norma Internacional (véase 4.2.4). La extensión de la documentación del sistema de gestión de la calidad puede diferir de una organización a otra : a) El tamaño de la organización y el tipo de actividades, b) La complejidad de los procesos y sus interacciones, y c) La competencia del personal. La documentación puede estar en cualquier formato o tipo de medio. 4.2.2. Manual de la calidad La organización debe establecer y mantener un manual de la calidad que incluya: a) El alcance del sistema de gestión de la calidad, incluyendo los detalles y la justificación de cualquier exclusión (véase 1.2).
b) Los procedimientos documentados establecidos para el sistema de gestión de la calidad, o referencia a los mismos, y c) Una descripción de la interacción entre los procesos del sistema de gestión de la calidad. 4.2.3. Control de los documentos Los documentos requeridos por el sistema de gestión de la calidad deben controlarse. Los registros son un tipo especial de documento y deben controlarse de acuerdo con los requisitos citados en 4.2.4. Debe establecerse un procedimiento documentado que defina los controles necesarios para : a) Aprobar los documentos en cuanto a su adecuación antes de su emisión, b) Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente, c) Asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos, d) Asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso, e) Asegurarse de que los documentos permanecen legibles y fácilmente identificables, f) Asegurarse de que se identifican los documentos de origen externo y se controla su distribución, y g) Prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón. 4.2.4. Control de los registros Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz del sistema de gestión de la calidad. Los registros deben permanecer legibles, fácilmente identificables y recuperables. Debe establecerse un procedimiento documentado para definir los controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de los registros. 5. Responsabilidad de la dirección 5.1. Compromiso de la dirección La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación del sistema de gestión de la calidad, así como con la mejora continua de su eficacia. a) Comunicando a la organización la importancia de satisfacer tanto los requisitos del cliente como los legales y reglamentarios, b) Estableciendo la política de la calidad, c) Asegurando que se establecen los objetivos de la calidad,
d) Llevando a cabo las revisiones por la dirección, y e) Asegurando la disponibilidad de recursos. 5.2. Enfoque al cliente La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de aumentar la satisfacción del cliente (véanse 7.2.1 y 8.2.1). 5.3. Política de la calidad La alta dirección debe asegurarse de que la política de la calidad. a) Es adecuada al propósito de la organización, b) Incluye un compromiso de cumplir con los requisitos y de mejorar continuamente la eficacia del sistema de gestión de la calidad, c) Proporciona un marco de referencia para establecer y revisar los objetivos de la calidad, d) Es comunicada y entendida dentro de la organización, y e) Es revisada para su continua adecuación. 5.4. Planificación 5.4.1. Objetivos de la calidad La alta dirección debe asegurarse de que los objetivos de la calidad, incluyendo aquéllos necesarios para cumplir los requisitos para el producto [véase 7.1 a)], se establecen en las funciones y niveles pertinentes dentro de la organización. Los objetivos de la calidad deben ser medibles y coherentes con la política de la calidad. 5.4.2. Planificación del sistema de gestión de la calidad La alta dirección debe asegurarse de que : a) La planificación del sistema de gestión de la calidad se realiza con el fin de cumplir los requisitos citados en 4.1, así como los objetivos de la calidad, y b) Se mantiene la integridad del sistema de gestión de la calidad cuando se planifican e implementan cambios en éste. 5.5. Responsabilidad, autoridad y comunicación 5.5.1. Responsabilidad y autoridad La alta dirección debe asegurarse de que las responsabilidades y autoridades están definidas y son comunicadas dentro de la organización. 5.5.2. Representante de la dirección La alta dirección debe designar un miembro de la dirección quien, con independencia de otras responsabilidades, debe tener la responsabilidad y autoridad que incluya: a) Asegurarse de que se establecen, implementan y mantienen los procesos necesarios para el sistema de gestión de la calidad, b) Informar a la alta dirección sobre el desempeño del sistema de gestión de la calidad y de cualquier necesidad de mejora, y c) Asegurarse de que se promueva la toma de conciencia de los requisitos del cliente en todos los niveles de la organización.
5.5.3. Comunicación interna La alta dirección debe asegurarse de que se establecen los procesos de comunicación apropiados dentro de la organización y de que la comunicación se efectúa considerando la eficacia del sistema de gestión de la calidad. 5.6. Revisión por la dirección 5.6.1. Generalidades La alta dirección debe, a intervalos planificados, revisar el sistema de gestión de la calidad de la organización, para asegurarse de su conveniencia, adecuación y eficacia continuas. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión de la calidad, incluyendo la política de la calidad y los objetivos de la calidad. Deben mantenerse registros de las revisiones por la dirección (véase 4.2.4). 5.6.2. Información para la revisión La información de entrada para la revisión por la dirección debe incluir : a) Resultados de auditorías, b) Retroalimentación del cliente, c) Desempeño de los procesos y conformidad del producto, d) Estado de las acciones correctivas y preventivas, e) Acciones de seguimiento de revisiones por la dirección previas, f) Cambios que podrían afectar al sistema de gestión de la calidad, y g) Recomendaciones para la mejora. 5.6.3. Resultados de la revisión Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con : a) La mejora de la eficacia del sistema de gestión de la calidad y sus procesos. b) La mejora del producto en relación con los requisitos del cliente, y c) Las necesidades de recursos. 6. Gestión de los recursos 6.1. Provisión de recursos La organización debe determinar y proporcionar los recursos necesarios para : a) Implementar y mantener el sistema de gestión de la calidad y mejorar continuamente su eficacia, y b) Aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos. 6.2. Recursos humanos 6.2.1. Generalidades El personal que realice trabajos que afecten a la calidad del producto debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas. 6.2.2. Competencia, toma de conciencia y formación
La organización debe : a) Determinar la competencia necesaria para el personal que realiza trabajos que afectan a la calidad del producto, b) Proporcionar formación o tomar otras acciones para satisfacer dichas necesidades, c) Evaluar la eficacia de las acciones tomadas, d) Asegurarse de que su personal es consciente de la pertinencia e importancia de sus actividades y de cómo contribuyen al logro de los objetivos de la calidad, y e) Mantener los registros apropiados de la educación, formación, habilidades y experiencia (véase 4.2.4). 6.3. Infraestructura La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto. La infraestructura incluye, cuando sea aplicable : a) Edificios, espacio de trabajo y servicios asociados, b) Equipo para los procesos, (tanto hardware como software), y c) Servicios de apoyo tales (como transporte o comunicación). 6.4. Ambiente de trabajo La organización debe determinar y gestionar el ambiente de trabajo necesario para lograr la conformidad con los requisitos del producto. 7. Realización del producto 7.1. Planificación de la realización del producto La organización debe planificar y desarrollar los procesos necesarios para la realización del producto. La planificación de la realización del producto debe ser coherente con los requisitos de los otros procesos del sistema de gestión de la calidad (véase 4.1). Durante la planificación de la realización del producto, la organización debe determinar, cuando sea apropiado, lo siguiente: a) Los objetivos de la calidad y los requisitos para el producto; b) La necesidad de establecer procesos, documentos y de proporcionar recursos específicos para el producto; c) Las actividades requeridas de verificación, validación, seguimiento, inspección y ensayo/prueba específicas para el producto así como los criterios para la aceptación del mismo; d) Los registros que sean necesarios para proporcionar evidencia de que los procesos de realización y el producto resultante cumplen los requisitos (véase 4.2.4). El resultado de esta planificación debe presentarse de forma adecuada para la metodología de operación de la organización. Un documento que especifica los procesos del sistema de gestión de la calidad (incluyendo los procesos de realización del producto) y los recursos que deben aplicarse a un producto, proyecto o contrato específico, puede denominarse como un
plan de la calidad. 7.2. Procesos relacionados con el cliente 7.2.1. Determinación de los requisitos relacionados con el producto La organización debe determinar : a) Los requisitos especificados por el cliente, incluyendo los requisitos para las actividades de entrega y las posteriores a la misma, b) Los requisitos no establecidos por el cliente pero necesarios para el uso especificado o para el uso previsto, cuando sea conocido, c) Los requisitos legales y reglamentarios relacionados con el producto, y d) Cualquier requisito adicional determinado por la organización. 7.2.2. Revisión de los requisitos relacionados con el producto La organización debe revisar los requisitos relacionados con el producto. Esta revisión debe efectuarse antes de que la organización se comprometa a proporcionar un producto al cliente (por ejemplo envío de ofertas, aceptación de contratos o pedidos, aceptación de cambios en los contratos o pedidos) y debe asegurarse de que : a) Están definidos los requisitos del producto, b) Están resueltas las diferencias existentes entre los requisitos del contrato o pedido y los expresados previamente, y c) La organización tiene la capacidad para cumplir con los requisitos definidos. d) Deben mantenerse registros de los resultados de la revisión y de las acciones originadas por la misma. Cuando el cliente no proporcione una declaración documentada de los requisitos, la organización debe confirmar los requisitos del cliente antes de la aceptación. Cuando se cambien los requisitos del producto, la organización debe asegurarse de que la documentación pertinente sea modificada y de que el personal correspondiente sea consciente de los requisitos modificados. En algunas situaciones, tales como las ventas por internet, no resulta práctico efectuar una revisión formal de cada pedido. En su lugar, la revisión puede cubrir la información pertinente del producto, como son los catálogos o el material publicitario. 7.2.3. Comunicación con el cliente La organización debe determinar e implementar disposiciones eficaces para la comunicación con los clientes, relativas a : a) La información sobre el producto, b) Las consultas, contratos o atención de pedidos, incluyendo las modificaciones, y c) La retroalimentación del cliente, incluyendo sus quejas. 7.3. Diseño y desarrollo 7.3.1 Planificación del diseño y desarrollo La organización debe planificar y controlar el diseño y desarrollo del
producto. Durante la planificación del diseño y desarrollo la organización debe determinar : a) Las etapas del diseño y desarrollo, b) La revisión, verificación y validación, apropiadas para cada etapa del diseño y desarrollo, y c) Las responsabilidades y autoridades para el diseño y desarrollo. La organización debe gestionar las interfaces entre los diferentes grupos involucrados en el diseño y desarrollo para asegurarse de una comunicación eficaz y una clara asignación de responsabilidades. Los resultados de la planificación deben actualizarse, según sea apropiado, a medida que progresa el diseño y desarrollo. 7.3.2. Elementos de entrada para el diseño y desarrollo Deben determinarse los elementos de entrada relacionados con los requisitos del producto y mantenerse registros . Estos elementos de entrada deben incluir : a) Los requisitos funcionales y de desempeño, b) Los requisitos legales y reglamentarios aplicables, c) La información proveniente de diseños previos similares, cuando sea aplicable, y d) Cualquier otro requisito esencial para el diseño y desarrollo. Estos elementos deben revisarse para verificar su adecuación. Los requisitos deben estar completos, sin ambigüedades y no deben ser contradictorios. 7.3.3 Resultados del diseño y desarrollo Los resultados del diseño y desarrollo deben proporcionarse de tal manera que permitan la verificación respecto a los elementos de entrada para el diseño y desarrollo, y deben aprobarse antes de su liberación. Los resultados del diseño y desarrollo deben : a) Cumplir los requisitos de los elementos de entrada para el diseño y desarrollo, b) Proporcionar información apropiada para la compra, la producción y la prestación del servicio, c) Contener o hacer referencia a los criterios de aceptación del producto, y d) Especificar las características del producto que son esenciales para el uso seguro y correcto. 7.3.4. Revisión del diseño y desarrollo En las etapas adecuadas, deben realizarse revisiones sistemáticas del diseño y desarrollo de acuerdo con lo planificado. a) Evaluar la capacidad de los resultados de diseño y desarrollo para cumplir los requisitos, e b) Identificar cualquier problema y proponer las acciones necesarias.
Los participantes en dichas revisiones deben incluir representantes de las funciones relacionadas con la(s) etapa(s) de diseño y desarrollo que se está(n) revisando. Deben mantenerse registros de los resultados de las revisiones y de cualquier acción necesaria. 7.3.5. Verificación del diseño y desarrollo Se debe realizar la verificación, de acuerdo con lo planificado (véase 7.3.1), para asegurarse de que los resultados del diseño y desarrollo cumplen los requisitos de los elementos de entrada del diseño y desarrollo. Deben mantenerse registros de los resultados de la verificación y de cualquier acción que sea necesaria. 7.3.6. Validación del diseño y desarrollo Se debe realizar la validación del diseño y desarrollo de acuerdo con lo planificado para asegurarse de que el producto resultante es capaz de satisfacer los requisitos para su aplicación especificada o uso previsto, cuando sea conocido Siempre que sea factible, la validación debe completarse antes de la entrega o implementación del producto. Deben mantenerse registros de los resultados de la validación y de cualquier acción que sea necesaria. 7.3.7. Control de los cambios del diseño y desarrollo Los cambios del diseño y desarrollo deben identificarse y deben mantenerse registros. Los cambios deben revisarse, verificarse y validarse, según sea apropiado, y aprobarse antes de su implementación. La revisión de los cambios del diseño y desarrollo debe incluir la evaluación del efecto de los cambios en las partes constitutivas y en el producto ya entregado. Deben mantenerse registros de los resultados de la revisión de los cambios y de cualquier acción que sea necesaria. 7.4. Compras 7.4.1. Proceso de compras La organización debe asegurarse de que el producto adquirido cumple los requisitos de compra especificados. El tipo y alcance del control aplicado al proveedor y al producto adquirido debe depender del impacto del producto adquirido en la posterior realización del producto o sobre el producto final. La organización debe evaluar y seleccionar los proveedores en función de su capacidad para suministrar productos de acuerdo con los requisitos de la organización. Deben establecerse los criterios para la selección, la evaluación y la reevaluación. Deben mantenerse los registros de los resultados de las evaluaciones y de cualquier acción necesaria que se derive de las mismas. 7.4.2. Información de las compras La información de las compras debe describir el producto a comprar, incluyendo, cuando sea apropiado : a) Requisitos para la aprobación del producto, procedimientos, procesos y equipos, b) Requisitos para la calificación del personal, y c) Requisitos del sistema de gestión de la calidad.
d) La organización debe asegurarse de la adecuación de los requisitos de compra especificados antes de comunicárselos al proveedor. 7.4.3. Verificación de los productos comprados La organización debe establecer e implementar la inspección u otras actividades necesarias para asegurarse de que el producto comprado cumple los requisitos de compra especificados. Cuando la organización o su cliente quieran llevar a cabo la verificación en las instalaciones del proveedor, la organización debe establecer en la información de compra las disposiciones para la verificación pretendida y el método para la liberación del producto. 7.5. Producción y prestación del servicio 7.5.1. Control de la producción y de la prestación del servicio La organización debe planificar y llevar a cabo la producción y la prestación del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable : a) La disponibilidad de información que describa las características del producto, b) La disponibilidad de instrucciones de trabajo, cuando sea necesario, c) El uso del equipo apropiado, d) La disponibilidad y uso de dispositivos de seguimiento y medición, e) La implementación del seguimiento y de la medición, y f) La implementación de actividades de liberación, entrega y posteriores a la entrega. 7.5.2. Validación de los procesos de la producción y de la prestación del servicio La organización debe validar aquellos procesos de producción y de prestación del servicio donde los productos resultantes no puedan verificarse mediante actividades de seguimiento o medición posteriores. Esto incluye a cualquier proceso en el que las deficiencias se hagan aparentes únicamente después de que el producto esté siendo utilizado o se haya prestado el servicio. La validación debe demostrar la capacidad de estos procesos para alcanzar los resultados planificados. La organización debe establecer las disposiciones para estos procesos, incluyendo, cuando sea aplicable : a) b) c) d) e)
Los criterios definidos para la revisión y aprobación de los procesos, La aprobación de equipos y calificación del personal, El uso de métodos y procedimientos específicos, Los requisitos de los registros, y La revalidación.
7.5.3. Identificación y trazabilidad Cuando sea apropiado, la organización debe identificar el producto por medios adecuados, a través de toda la realización del producto. La organización debe identificar el estado del producto con respecto a los requisitos de seguimiento y medición.
Cuando la trazabilidad sea un requisito, la organización debe controlar y registrar la identificación única del producto. 7.5.4. Propiedad del cliente La organización debe cuidar los bienes que son propiedad del cliente mientras estén bajo el control de la organización o estén siendo utilizados por la misma. La organización debe identificar, verificar, proteger y salvaguardar los bienes que son propiedad del cliente suministrados para su utilización o incorporación dentro del producto. Cualquier bien que sea propiedad del cliente que se pierda, deteriore o que de algún otro modo se considere inadecuado para su uso debe ser registrado y comunicado al cliente. 7.5.5. Preservación del producto La organización debe preservar la conformidad del producto durante el proceso interno y la entrega al destino previsto. Esta preservación debe incluir la identificación, manipulación, embalaje, almacenamiento y protección. La preservación debe aplicarse también, a las partes constitutivas de un producto. 7.6. Control de los dispositivos de seguimiento y de medición La organización debe determinar el seguimiento y la medición a realizar, y los dispositivos de medición y seguimiento necesarios para proporcionar la evidencia de la conformidad del producto con los requisitos determinados (véase 7.2.1). La organización debe establecer procesos para asegurarse de que el seguimiento y medición pueden realizarse y se realizan de una manera coherente con los requisitos de seguimiento y medición. Cuando sea necesario asegurarse de la validez de los resultados, el equipo de medición debe : a) Calibrarse o verificarse a intervalos especificados o antes de su utilización, comparado con patrones de medición trazables a patrones de medición nacionales o internacionales; cuando no existan tales patrones debe registrarse la base utilizada para la calibración o la verificación; b) Ajustarse o reajustarse según sea necesario; c) Identificarse para poder determinar el estado de calibración; d) Protegerse contra ajustes que pudieran invalidar el resultado de la medición; e) Protegerse contra los daños y el deterioro durante la manipulación, el mantenimiento y el almacenamiento. Además, la organización debe evaluar y registrar la validez de los resultados de las mediciones anteriores cuando se detecte que el equipo no está conforme con los requisitos. La organización debe tomar las acciones apropiadas sobre el equipo y sobre cualquier producto afectado. Deben mantenerse registros de los resultados de la calibración y la verificación. Debe confirmarse la capacidad de los programas informáticos para satisfacer su aplicación prevista cuando éstos se utilicen en las actividades de seguimiento y medición de los requisitos especificados. Esto debe llevarse a cabo antes de iniciar su utilización y confirmarse de nuevo cuando sea necesario. 8. Medición, análisis y mejora
8.1. Generalidades La organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para: a) Demostrar la conformidad del producto, b) Asegurarse de la conformidad del sistema de gestión de la calidad, y c) Mejorar continuamente la eficacia del sistema de gestión de la calidad. Esto debe comprender la determinación de los métodos aplicables, incluyendo las técnicas estadísticas, y el alcance de su utilización. 8.2. Seguimiento y medición 8.2.1. Satisfacción del cliente Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la organización. Deben determinarse los métodos para obtener y utilizar dicha información. 8.2.2. Auditoría interna La organización debe llevar a cabo a intervalos planificados auditorías internas para determinar si el sistema de gestión de la calidad : a) Es conforme con las disposiciones planificadas (véase 7.1), con los requisitos de esta Norma Internacional y con los requisitos del sistema de gestión de la calidad establecidos por la organización, y b) Se ha implementado y se mantiene de manera eficaz. Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio trabajo. Deben definirse, en un procedimiento documentado, las responsabilidades y requisitos para la planificación y la realización de auditorías, para informar de los resultados y para mantener los registros. La dirección responsable del área que esté siendo auditada debe asegurarse de que se toman acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación. 8.2.3. Seguimiento y medición de los procesos La organización debe aplicar métodos apropiados para el seguimiento, y cuando sea aplicable, la medición de los procesos del sistema de gestión de la calidad. Estos métodos deben demostrar la capacidad de los procesos para
alcanzar los resultados planificados. Cuando no se alcancen los resultados planificados, deben llevarse a cabo correcciones y acciones correctivas, según sea conveniente, para asegurarse de la conformidad del producto. 8.2.4. Seguimiento y medición del producto La organización debe medir y hacer un seguimiento de las características del producto para verificar que se cumplen los requisitos del mismo. Esto debe realizarse en las etapas apropiadas del proceso de realización del producto de acuerdo con las disposiciones planificadas (véase 7.1). Debe mantenerse evidencia de la conformidad con los criterios de aceptación. Los registros deben indicar la(s) persona(s) que autoriza(n) la liberación del producto. La liberación del producto y la prestación del servicio no deben llevarse a cabo hasta que se hayan completado satisfactoriamente las disposiciones planificadas, a menos que sean aprobados de otra manera por una autoridad pertinente y, cuando corresponda, por el cliente. 8.3. Control del producto no conforme La organización debe asegurarse de que el producto que no sea conforme con los requisitos, se identifica y controla para prevenir su uso o entrega no intencional. Los controles, las responsabilidades y autoridades relacionadas con el tratamiento del producto no conforme deben estar definidos en un procedimiento documentado. La organización debe tratar los productos no conformes mediante una o más de las siguientes maneras: a) Tomando acciones para eliminar la no conformidad detectada; b) Autorizando su uso, liberación o aceptación bajo concesión por una autoridad pertinente y, cuando sea aplicable, por el cliente; c) Tomando acciones para impedir su uso o aplicación originalmente previsto. Se deben mantener registros de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido. Cuando se corrige un producto no conforme, debe someterse a una nueva verificación para demostrar su conformidad con los requisitos. Cuando se detecta un producto no conforme después de la entrega o cuando ha comenzado su uso, la organización debe tomar las acciones apropiadas respecto a los efectos, o efectos potenciales, de la no conformidad. 8.4. Análisis de datos La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad y la eficacia del sistema de gestión de la calidad y para evaluar dónde puede realizarse la mejora continua de la eficacia del sistema de gestión de la calidad. Esto debe incluir los datos generados del resultado del seguimiento y medición y de cualesquiera otras fuentes pertinentes. El análisis de datos debe proporcionar información sobre : a) La satisfacción del cliente, b) La conformidad con los requisitos del producto, c) Las características y tendencias de los procesos y de los productos,
incluyendo las oportunidades para llevar a cabo acciones preventivas, y d) Los proveedores. 8.5. Mejora 8.5.1. Mejora continua La organización debe mejorar continuamente la eficacia del sistema de gestión de la calidad mediante el uso de la política de la calidad, los objetivos de la calidad, los resultados de las auditorías, el análisis de datos, las acciones correctivas y preventivas y la revisión por la dirección. 8.5.2. Acción correctiva La organización debe tomar acciones para eliminar la causa de no conformidades con objeto de prevenir que vuelva a ocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. Debe establecerse un procedimiento documentado para definir los requisitos para : a) Revisar las no conformidades (incluyendo las quejas de los clientes), b) Determinar las causas de las no conformidades, c) Evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidades no vuelvan a ocurrir, d) Determinar e implementar las acciones necesarias, e) Registrar los resultados de las acciones tomadas , y f) Revisar las acciones correctivas tomadas. 8.5.3 Acción preventiva La organización debe determinar acciones para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a los efectos de los problemas potenciales. Debe establecerse un procedimiento documentado para definir los requisitos para : a) Determinar las no conformidades potenciales y sus causas, b) Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades, c) Determinar e implementar las acciones necesarias, d) Registrar los resultados de las acciones tomadas, y e) Revisar las acciones preventivas tomadas.
EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000 [URL]
1. PRIMER PASO: Solicitud de acreditación Para solicitar la acreditación, debe desarrollar el apropiado formulario de solicitud y enviarlo a ENAC aportando toda la documentación que se indica en el mismo. Esta documentación servirá para conocer las características de su organización y el modo en el que se llevan a cabo las actividades para las que solicita la acreditación y para preparar adecuadamente la evaluación. Así mismo debe adjuntar el justificante de pago de la tarifa de apertura de expediente de acuerdo a las Tarifas en vigor. La información recibida por ENAC, tanto en la solicitud como a lo largo de todo el proceso de acreditación será considerada como CONFIDENCIAL. 1.1. Alcance de acreditación El alcance de Acreditación es una parte fundamental de la solicitud de acreditación ya que constituirá finalmente el Anexo Técnico que acompaña al “Certificado de Acreditación”. El solicitante de la acreditación establece el alcance para el que desea ser acreditado en función de sus necesidades y objetivos. La solicitud de acreditación para un alcance concreto es una declaración por parte de la entidad de su competencia técnica para todas las actividades incluidas en él y la evaluación de ENAC persigue, por tanto, determinar si la entidad es capaz de demostrar su competencia en la totalidad del alcance declarado. Para conocer en qué términos se debe definir el alcance dispone de instrucciones en cada uno de los formularios de solicitud. 1.2. Aceptación y revisión de la Solicitud Una vez recibida la solicitud de acreditación, ENAC revisa la documentación suministrada con objeto de comprobar que la actividad es susceptible de ser acreditada y comunica al solicitante el número de expediente asignado, y el técnico responsable de coordinar su proceso de acreditación. El técnico responsable del expediente verifica que el alcance de las actividades a acreditar está claramente definido y confirma que se ha aportado toda la información necesaria para preparar y realizar adecuadamente la evaluación. Si la documentación no fuera completa o adecuada se pedirá al solicitante que la complete. Si todo es correcto, y antes de iniciar la evaluación, ENAC remite al solicitante para su aceptación un presupuesto estimado del coste del proceso. 2. SEGUNDO PASO. Evaluación 2.1. Designación del equipo auditor ENAC designa, de entre sus auditores y expertos calificados, al equipo auditor que llevará a cabo, el proceso de evaluación que contará con un auditor jefe, responsable final de la auditoría, y tantos expertos técnicos
como sean necesarios en función de las actividades para las que la entidad solicita la acreditación. ENAC informa al solicitante de los nombres de los miembros del equipo auditor y, en su caso, de la organización a la que pertenecen. Si la entidad entiende que hay motivos que pudieran comprometer su imparcialidad puede recusarlos por escrito, aportando los motivos. 2.2. Estudio documental Previo a la auditoría “in situ” se realiza un estudio de los documentos técnicos de la entidad. El informe con el resultado del estudio se envía a la entidad para que adopte las medidas que considere oportunas para resolver, en su caso, los problemas identificados. 2.3. Auditoría y visitas de acompañamiento Una vez se considera satisfactorio el estudio documental, el auditor jefe se pone en contacto con la entidad para fijar la fecha de la auditoría y le envía un Programa de Auditoría. Durante la auditoría, se evalúa el sistema de gestión de la entidad, su funcionamiento, la ejecución de las actividades y la implantación de los requisitos de acreditación. Con objeto de verificar la correcta aplicación e interpretación de los procedimientos de trabajo y la competencia técnica del personal se seleccionan actividades representativas del alcance de acreditación para presenciar la actuación del personal técnico. • •
•
En laboratorios de ensayo se solicita la realización de una muestra representativa de los ensayos que son objeto de acreditación. En laboratorios de calibración, se solicita la calibración de un “patrón de transferencia”, previamente calibrado por un laboratorio acreditado, que proporciona el equipo auditor. En entidades de inspección, certificación y verificadores se realizan visitas de acompañamiento en las que los expertos técnicos presencian la actuación de los auditores / inspectores.
Al final de la auditoría el equipo auditor presentará a los representantes de la entidad un resumen de los resultados de la investigación y las desviaciones detectadas respecto a los criterios de acreditación. 2.4. Informe del equipo auditor Tras la realización de la auditoría se facilita a la entidad un informe escrito elaborado por el equipo auditor con los resultados de la evaluación realizada. 2.5. Respuesta del solicitante La entidad debe analizar las causas de las desviaciones que se han detectado, revisar la repercusión que pueden tener en el resto de actividades relacionadas y remitir a ENAC un plan de acciones correctoras, aportando evidencias que demuestren que han recibido el tratamiento adecuado para su resolución.
La entidad podrá alegar aquellos extremos del informe con los que se encuentre disconforme, aportando todas las evidencias que considere necesarias.
3. TERCER PASO: Decisión de Acreditación Las decisiones de acreditación son tomadas por un órgano técnico independiente denominado Comisión de Acreditación. Para conceder la acreditación, la Comisión de Acreditación debe obtener la confianza adecuada en que se cumplen los requisitos de acreditación y en que las desviaciones detectadas en su caso, han sido convenientemente tratadas. Para ello analiza la información generada durante el proceso de evaluación y basándose en ello adopta una de estas decisiones: • •
Conceder la acreditación. Determinar las actividades de evaluación extraordinarias que sean necesarias para asegurarse de la subsanación de las desviaciones detectadas.
En caso de disconformidad con la decisión, la entidad puede dirigirse al Comité Permanente, formulando cuantas alegaciones tenga por oportunas. 3.1. Certificado de Acreditación En el Certificado de Acreditación se expresan específicamente: • • •
Nombre de la entidad y número de la acreditación concedida. Alcance de la acreditación, por referencia a un documento llamado Anexo Técnico al certificado. Fecha de entrada en vigor de la acreditación.
La entidad acreditada tiene derecho a hacer uso de la marca de ENAC o referencia a su condición de acreditado en las condiciones establecidas en el documento CEAENAC01 “Criterios para la utilización de la marca ENAC o referencia a la condición de acreditado”. 4. MANTENIMIENTO DE LA ACREDITACIÓN La acreditación no es el resultado de un proceso puntual. ENAC evalúa regularmente a las entidades acreditadas, comprobando que mantienen su competencia técnica mediante visitas de seguimiento y auditorías de reevaluación. La frecuencia de las visitas se establece en función de los resultados previos. 4.1. Seguimientos La primera visita de seguimiento se realiza en un plazo no superior a un año desde la concesión de la acreditación y los siguientes seguimientos se realizan no más tarde de 18 meses desde la última visita, notificando la fecha a la entidad con antelación. 4.2. Reevaluaciones Transcurridos como máximo 4 años desde la fecha inicial de acreditación se
reevalua la competencia de la entidad, realizando una auditoría equivalente a la inicial. La siguiente auditoría de reevaluación a la entidad se programará en un plazo no superior a 5 años desde la anterior. 5. AMPLIACIÓN DEL ALCANCE DE ACREDITACIÓN Las entidades acreditadas pueden ampliar el alcance de su acreditación. Para ello deben solicitar formalmente dicha ampliación, utilizando los formularios de solicitud. Para evaluar esta ampliación se aplica el proceso de evaluación ya descrito, simplificado según proceda en función del volumen y carácter de dicha ampliación. Los costes del proceso de evaluación pueden reducirse si la ampliación coincide con una visita de seguimiento. 6. COSTE DE LA ACREDITACIÓN Puede consultar las tarifas aplicables a la acreditación para los distintos esquemas (laboratorios, inspección, certificación de producto, certificación de sistemas de gestión,...) en la sección Tarifas. El coste del proceso incluye una tarifa correspondiente a la tramitación y gestión del proceso y el coste correspondiente al número de días de auditor necesarios para llevar a cabo la evaluación que está. en función del alcance de acreditación y las características de la entidad. Previo a la realización de una evaluación, ENAC remite al solicitante un presupuesto con el coste estimado del proceso para su aceptación. Las entidades acreditadas pagan una tarifa anual por el mantenimiento de la acreditación.
FUENTES: ISO: International Organization for Standarization, About, , http://www.iso.org/iso/about.htm ISOES: , ISO 27000 FAQ, , http://www.iso27000.es/faqs.html 27000,ORG: , An Introduction To ISO 27k, , http://www.27000.org ANISO: Alejandro Corletti Estrada, ANÁLISIS DE ISO27001:2005, Madrid, abril de 2006. ISMS: , Internacional Register of ISMS Certificates, , http://www.iso27001certificates.com/ IAF: , Internationa Acreditation Foro, , http://www.compad.com.au/clients/iaf/indexPrev.php? updaterUrlPrev=articles&artId=194 ONGEI: , Oficina Nacional de Gobierno Electrónico e Informática, , http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01PCMISO17799001V2.pdf ISOES: ISO9001, http://www.iso9001.com.es/, REQ: http://www.congresoson.gob.mx/ISO/ISO90012000_Requisitos.pdf, ISO 9001 REQUISITOS, URL: ENAC Entidad Nacional de Acreditación, http://www.enac.es/,
Related Documents
Iso 27000
June 2020 4
Iso 27000
June 2020 7
Iso 9001:2000 - Iso 27000
October 2019 20
Org Iso Iso Iso Iso Iso Iso Iso Iso Iso
June 2020 41
Iso
June 2020 30
Iso
April 2020 17More Documents from "vikramadkm"
