Sistema de Gestin Integral con

PAS 99, ISO 9001, ISO 27001, ISO

20000, COBIT, BS 25999 / ISO 22301
October 2011

Mario Urea Cuate

CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

Agenda
Introduccin
Sistema de Gestin Integral
Elementos comunes de los Sistemas de
Gestin
Auditora y Certificacin
Conclusiones

Introduccin

2008

Introduccin

2011

Introduccin

Introduccin

Introduccin
Estndares originados por BSI (British Standards Institution):
1979

BS 5750

ISO 9001 (Calidad)

1992

BS 7750

ISO 14001 (Medioambiente)

1995

BS 7799

ISO/IEC 27001 (Seguridad de la Informacin)

1996

BS 8800

OHSAS 18001 (Salud Ocupacional y Seguridad)

2000

BS 8600

ISO 10002 (Satisfaccin de Clientes)

2002

BS 15000

ISO/IEC 20000 (Servicios de TI)

2007

BS 25999

ISO/IEC 22301 (Continuidad del Negocio)

2008

BS 25777

ISO/IEC 27031 (Continuidad de las TIC)

2009

BS 10012

(Proteccin de Datos Personales)

Introduccin
Riesgo
Reducir interrupciones a travs de una efectiva gestin
de riesgo

Sustentabilidad
Crear valor a travs de prcticas sustentables

Desempeo
Crear ventaja competitiva a travs de la mejora en el
desempeo

Motivadores

Gobierno
corporativo

Val IT

ISO 31000

COSO

COBIT / ISO 38500

CMMI
Estndares y
mejores prcticas

SSE-CMM

PAS 99

Gobierno de TI

Procesos y
procedimientos

Cumplimiento

Metas del negocio

Balanced
Scorecard

LFPDPPP, SOX,
BASILEAII,
PCI.

Procedimientos
de desarrollo y
mantenimiento

ISO 27005
ISO 9001
SGC

Procedimientos
de calidad

ISO 20000
SGSTI

ITIL

ISO 27001
SGSI

Principios
de Seguridad
(OECD)

BS 25999 /
ISO 22301/
ISO 27031
SGCN

BS 10012
SGIP

DRII

Practicas
de proteccin
de datos

PMBOK / PRINCE2

Desempeo

Sistema de Gestin Integral

Sistema de gestin que integra todos los
sistemas y procesos de una organizacin en un
nico marco de referencia, permitiendo a la
organizacin trabajar como una unidad con
objetivos unificados.

Sistema de Gestin Integral

Beneficios:
Enfoque de negocio mejorado
Enfoque holstico para gestionar riesgos
Menor conflicto entre sistemas
Reducir duplicacin y burocracia
Auditoras mas eficientes y efectivas tanto
internas como externas

Sistema de Gestin Integral

Quien puede implementarlo?
El Sistema de Gestin Integrado es relevante para
cualquier organizacin, independientemente de
su tamao o sector en el que opera, que busque
integrar dos o ms de sus sistemas en uno solo
con un conjunto holstico de documentacin,
polticas, procedimientos y procesos.

Sistema de Gestin Integral

Basado en P-D-C-A

Sistema de Gestin Integral

La organizacin pregunta:
Nosotros no tenemos procesos, aqu
trabajamos por funciones Puedo
implementar un Sistema de Gestin?

Sistema de Gestin Integral

La organizacin pregunta:
Debo tener todo documentado en
un mismo Manual de Sistema de
Gestin Integral?

Sistema de Gestin Integral

Sistema de Gestin Integral

El Manual del Sistema de Gestin
NO es un requisito comn.

Manual del
Sistema de
Gestin
Integral

Sistema de Gestin Integral

La organizacin pregunta:
Es mandatorio tener un comit para
cada Sistema de Gestin? Ejemplo:
uno para 9000, otro para Seguridad,
etc. ?

Sistema de Gestin Integral

La organizacin pregunta:
Puedo tener una sola declaracin
de aplicabilidad (SoA) para el Sistema
de Gestin Integral?

Sistema de Gestin Integral

La Declaracin de Aplicabilidad
NO es un requisito comn.

Declaracin
de
Aplicabilidad
(SoA)

Sistema de Gestin Integral

Sistema de Gestin Integral

Cul es el estndar que

establece los requisitos
del Sistema de Gestin
Integral?

Elementos comunes de los SG

Les presento: PAS 99

Elementos comunes de los SG

ISO Guide 72:

Para quienes escriben estndares e

incluye un marco de referencia de los
elementos comunes de los Sistemas de
Gestin.

Elementos comunes de los SG

Estructura de PAS 99:
1.
2.
3.
4.

Alcance
Referencias Normativas
Trminos y definiciones
Requerimientos comunes de Sistemas de
Gestin
5. Anexo A Gua sobre antecedentes y uso de la
publicacin

Elementos comunes de los SG

Principales categoras:
Poltica
Planeacin
Implementar y operar
Evaluacin del desempeo
Mejora
Revisin de la gerencia

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

4.1 Requerimientos generales
Alcance del Sistema de Gestin
Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestin
Identificar los procesos necesarios
Determinar la secuencia e interaccin de estos procesos
Determinar criterios y mtodos necesarios
Asegurar la disponibilidad de recursos e informacin para
soportar la operacin y monitoreo
Monitorear, medir y analizar estos procesos

Elementos comunes de los SG

4.2 Poltica del Sistema de Gestin
Apropiada a las actividades, productos y servicios
Incluye un compromiso de cumplimiento con
todos los requerimientos legales relevantes
Provee la base para establecer y revisar objetivos
Es comunicada a todas las personas que trabajan
en o en nombre de la organizacin
Es revisada continuamente para verificar su
adecuacin

Sistema de Gestin Integral

Puedo tener un solo

documento de poltica
para todos los Sistemas
de Gestin?

Elementos comunes de los SG

4.3 Planeacin
Identificacin y evaluacin de aspectos, impactos y
riesgos
Identificacin de requerimientos legales y otros
Planeacin de contingencias
Objetivos
Estructura organizacional, roles, responsabilidades y
autoridades
Identificar, documentar y comunicar roles,
responsabilidades y autoridades de los involucrados

Elementos comunes de los SG

4.4 Implementacin y operacin
Control operacional
Gestin de recursos (competencias)
Requerimientos de documentacin
Comunicacin

Elementos comunes de los SG

4.4.3 Requerimientos de documentacin

Alcance
Declaracin de poltica y objetivos
Descripcin de los principales elementos del sistema
Procedimientos
documentados
y
registros
mandatorios
Documentos que la organizacin considere como
necesarios

Elementos comunes de los SG

4.4.3.3 Control de documentos
Aprobar previo a su uso
Revisar, actualizar y re-aprobar documentos
Asegurar que los cambios y versin actual estn
identificados
Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso
Asegurar que los documentos se mantienen legibles e
identificables
Asegurar que los documentos de origen externo estn
identificados y su distribucin controlada
Prevenir el uso no intencionado de documentos
obsoletos

Sistema de Gestin Integral

Documentos y registros
Son lo mismo, son
cosas diferentes, cuales
son las diferencias?

Elementos comunes de los SG

4.5 Evaluacin del desempeo
Monitoreo y medicin
Evaluacin de cumplimiento
Auditora interna
Gestin de no conformidades

Elementos comunes de los SG

4.6 Mejora
General
Acciones correctivas, preventivas y de mejora

Elementos comunes de los SG

4.6.2 Acciones correctivas, preventivas y de
mejora
A) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de accin para que no vuelvan
a ocurrir
D) Determinar e implementar la accin necesaria
E) Registrar los resultados de la accin tomada
F) Revisar la efectividad de las acciones tomadas

Elementos comunes de los SG

4.7 Revisin de la Gerencia
General
Entradas
Salidas

Elementos comunes de los SG

4.7.2 Entradas
A)
B)
C)
D)
E)

Resultados de auditoras
Retroalimentacin de partes interesadas
Estatus de acciones correctivas y preventivas
Acciones de seguimiento para revisiones previas
Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con la
organizacin y los riesgos que enfrenta
F) Recomendaciones de mejora
G) Datos e informacin sobre el desempeo
H) Resultados de la evaluacin de cumplimiento

Elementos comunes de los SG

4.7.3 Salidas
A) Mejoras en la efectividad del sistema
de gestin
B) Mejoras relacionadas con los requerimientos de las partes interesadas
C) Recursos necesarios para lograr la
mejora al Sistema de Gestin y sus
procesos

Elementos comunes de los SG

Procedimientos mandatorios:
Control de documentos y registros
Auditora
Acciones Correctivas
Acciones Preventivas

Elementos comunes de los SG

Pasos sugeridos:
1 Combinado

Sistemas son utilizados por

separado

2 Integrable

Se han identificado los elementos

comunes

3 Integracin

Se han identificado los elementos

comunes y estn siendo integrados

4 Integrado

Un sistema que integra todos los

elementos comnes

(Parntesis) y que hay de COBIT?

Sistema de Gestin Integral

Qu estndar define las

guas para auditora de
Sistemas de gestin?

Auditora y Certificacin

ISO 19011
Guas para la
auditora de
Sistemas de Gestin
de Calidad y/o
ambiental

Auditora y Certificacin
Inicio de la Auditora
Revisin de Documentos

Preparar Actividades en Sitio

Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditora
Completar la Auditora
Conducir el Seguimiento de la Auditora

Competencia del auditor

Habilidades y atributos personales.
Conocimiento y experiencia en la aplicacin de
principios de:

Auditora +
Sistemas de Gestin +
Calidad +
Seguridad de la Informacin +
Gestin de TI +
Continuidad del Negocio +

Auditora y Certificacin

Cumplimiento vs
Conformidad

Auditora y Certificacin
La organizacin pregunta:
Puedo solicitar la auditora de
certificacin para diferentes sistemas
en forma simultnea?

Conclusiones

Motivadores

Gobierno
corporativo

Val IT

ISO 31000

COSO

COBIT / ISO 38500

CMMI
Estndares y
mejores prcticas

SSE-CMM

PAS 99

Gobierno de TI

Procesos y
procedimientos

Cumplimiento

Metas del negocio

Balanced
Scorecard

LFPDPPP, SOX,
BASILEAII,
PCI.

Procedimientos
de desarrollo y
mantenimiento

ISO 27005
ISO 9001
SGC

Procedimientos
de calidad

ISO 20000
SGSTI

ITIL

ISO 27001
SGSI

Principios
de Seguridad
(OECD)

BS 25999 /
ISO 22301/
ISO 27031
SGCN

BS 10012
SGIP

DRII

Practicas
de proteccin
de datos

PMBOK / PRINCE2

Desempeo

Preguntas y respuestas
Gracias!
Mario Urea Cuate
CISA, CISM, CGEIT, CISSP
ISO27001LA, BS25999LA