Esta primera edicin de la Norma ISO 19011 anula y reemplaza a las Normas ISO 10011-1:1990, ISO

10011-2:1991,ISO 10011-3:1991, ISO 14010:1996, ISO 14011:1996 e ISO 14012:1996.

REFERENCIAS NORMATIVAS

ISO 9000: 2000, Sistemas de gestin de la calidad Fundamentos y vocabulario.

ISO 14050:2002, Gestin ambiental Vocabulario.

3.1 AUDITORIA

AUDITORIA PRIMERA PARTE: La realiza la Empresa a nivel interno para la revisin por la
direccin (El auditor no debe ser responsable de los procesos auditados).

AUDITORIA SEGUNDA PARTE: La realiza partes externas que tiene algn inters con la
empresa.(Clientes o representaste de los mismos)

AUDITORIA TERCERA PARTE: La realiza a cabo por organizaciones independientes las
cuales pueden proporcionar el registro o certificacin de conformidad con la norma.

3.2 CRITERIOS DE AUDITORIA

Polticas, procesos o requisitos de referencia para comparar las evidencias.

3.3 EVIDENCIA DE LA AUDITORIA

Registros o evidencias tomadas en la auditoria.
Caractersticas de la evidencia cualitativa o cuantitativa, relevante, autentica, verificable,
neutral.

3.4 HALLAZGOS DE LA AUDITORIA

Son los resultados obtenidos de la evaluacin de las evidencias contra los criterios de auditoria.

No conformidades
Conformidades
Oportunidades de mejora

3.5 CONCLUSIONES DE LA AUDITORIA

Son los resultados finales de la auditoria, despus de considerar los objetivos y hallazgos de la
auditoria.

3.11 PROGRAMA DE AUDITORIA

Conjunto de auditoras planificadas para un periodo de tiempo determinado y dirigidas a un propsito
especfico. (5.2)

EJEMPLO:

Las auditoras de segunda parte al sistema de gestin de los proveedores potenciales de
productos crticos que se van a realizar en un perodo de seis meses;






3.12 PLAN DE AUDITORIA (PDCA PLAN DO CHECK ACCION)

Descripcin de las actividades de una auditoria.

EJEMPLO:



3.13 ALCANCE DE UNA AUDITORIA

Descripcin de ubicaciones, unidades de la organizacin, las actividades, procesos y tiempo cubierto.


6. ACTIVIDADES DE AUDITORIA













































NUEVA VERSION

CAPTULO 4 - Contexto de la organizacin

La organizacin resalta la necesidad de hacer un anlisis para identificar los problemas externos e
internos que rodean a la organizacin. (necesidades de la organizacin)

De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas
y que deben estar en el alcance del SGSI.

CAPTULO 5 - Liderazgo

La definicin de la poltica de seguridad de la informacin debe estar alineada a los objetivos del
negocio y asignacin de los recursos necesarios para la implementacin del sistema esta
responsabilidad recae exclusivamente a la Alta direccin.

CAPTULO 6 - Planeacin

Se define objetivos de seguridad claros para relacionar planes especficos de cumplimiento de la
norma. En el anlisis de riegos se atacan los pilares de seguridad y los riesgos se clasifican con
respecto a la (ocurrencia vs Impacto).

CAPTULO 7 Soporte

Se relacionan los requerimientos para implementar el SGSI incluyendo personal, recursos,
comunicacin.

CAPTULO 8 Operaciones

Se establecen los mecanismos para planear, controlar las operaciones y requerimientos de
seguridad, las evaluaciones de riesgos peridicas son el enfoque para la gestin del sistema. Las
vulnerabilidades y amenazas identifican los riegos asociados a los pilares de seguridad.

CAPTULO 9 Evaluacin y planes de accin

Se definen las bases para medir la efectividad y desempeo del sistema de gestin apoyndose de
las auditoras internas y revisiones del SGSI. Se platean acciones para solucionar las no
conformidades.

CAPTULO 10 Mejora

Se proponen las acciones correctivas ms efectivas para solucionar las no conformidades
identificadas y controlar que no se repitan.









Cambios 27001:2005 y 27001:2013

- El enfoque basado en procesos PDCA a sido eliminado, debido a que existen otras formas
para la mejora continua. Flexibilidad en implementacin.
- Ya no se exige un orden especfico para la implementacin de SGSI, lo importante es que
se cumplan los requisitos.
- Ya no son 102 requisitos obligatorios sino 130 reorganizados en las clusulas del 4 al 10.
- En la evaluacin de riegos se incluye el requisito general (dueo del riesgo)
- Los controles del anexo A disminuyen de 133 a 114.
- No es necesario seleccionar los controles del anexo A. Las organizaciones deben
determinar sus controles necesarios para tratamiento de riesgos y se comparan con los del
anexo para evitar que falten controles importantes.