Professional Documents
Culture Documents
PRIMER BIMESTRE
Noviembre – 2015
UNIDAD 1: SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SISTEMA DE GESTIÓN DE
Sistema para establecer la política y los objetivos
SGSI SEGURIDAD DE LA ISO 9000
y para lograr dichos objetivos
INFORMACIÓN
Misión
Visión
Valores
Objetivos
Marco de De
Organización Integra
Es funcionamiento una
Políticas
De Procedimientos
SGSI Registros
Indicadores
Incrementar
Para Disponer de un Que
Eficacia
sistema de gestipión Permita
Eficiencia
2. ¿Qué es un PDCA?
PDCA es un conjunto de fases que permite la mejora continua del Sistema de Gestión del
Sistema de Información, que se pueden aplicar a cualquier proyecto de mejora de
procesos que lo requiera.
Las siglas y fases de PDCA son: Plan (planificar), Do (hacer), Check (hacer/comprobar),
Act (actuar).
Planificar se refiere a la creación, hacer a la implementación, comprobar a la
supervisión y revisión y actuar al aseguramiento de mejoría continua.
3. ¿Cuáles son los beneficios de un SGSI? Elabore un organizador gráfico
Reducción de
riesgos
Aumenta la
Cumplimiento
madurez de la
legal
seguridad
Ventajas Competitivas
Mejor gestión
Aumento de Cumplimiento
de
seguridad Legal
presupuesto
Nuevas
Imagen de Eficiencia y
oportunidades
excelencia productividad
de negocio
4. Elabore organizadores gráficos considerando los objetivos de la auditoría,
limitaciones y tipos de auditoría.
Requisitos,
Si la realiza la
Proteger la gestión restricciones, al
Organización o
o cumplimiento. inicio del proyecto
personal externo
No disponibilidad de
CONCEPTOS GENERALES
información
Verificar el grado de
Auditoría Auditoría
seguridad de un
Interna Externa
sistema
Dificultad de
conservación de
evidencias Auditor Interno Auditor Externo
Determinar el nivel
de eficacia y Debe conocer y
eficiencia de los Todas las No tiene relación
limitaciones deben cumplir las
procesos de TI laboral con la
constar en el normas de
organización
informe de conducta
Verificar el auditoría
cumplimiento por
parte de la Independencia,
Forma parte del
Organización experiencia,
control interno.
visión globlal.
5. ¿Cuáles son los principios de la auditoría? Elabore un organizador gráfico
Profesionalismo
* Honestidad, diligencia y responsabilidad
INTEGRIDAD * Cumplir los requisitos legales
* Competencia al desempeñar su trabajo
* Desempeñar su trabajo de manera imparcial
PRINCIPIOS
DE Seguridad de la información
AUDITORÍA * Discresión en el uso y protección de la
información
CONFIDENCIALIDAD * La información no debe usarse inapropiada-
mente
* Tratamiento apropiado de la información
de forma sensible o confidencial
Imparcialidad y objetividad
* Actuar de forma que sus acciones no supongan
INDEPENDENCIA ningún conflixto de interses
* Los auditores deben ser independientes
* Los resultados de la auditoría estarán basados
sólo en la evidencia.
Método utilizado
ENFOQUE * Permita alcanzar conclusiones de auditoría
BASADO EN * Obtención de evidencias sobre la información
EVIDENCIA disponible
6. ¿Para qué sirve el modelo PCDA?
Para conseguir que las auditorías se realicen de una forma eficaz y eficiente, el programa de
auditoría debe incluir la información y los recursos necesarios para llevarlos a cabo. Un programa
de auditoría debe estar enmarcado dentro de un modelo PDCA, que nos permita gestionarlo
dentro de un proceso de mejora continua.
DO (HACER) - IMPLEMENTACIÓN
INICIO DE LA REALIZACIÓN DE
PREPARACIÓN
AUDITORÍA LAS ACTIVIDADES
ACTIVIDADES
DE LA
AUDITORÍA
PREPARACIÓN,
ACTIVIDADES DE FINALIZACIÓN DE
APROBACIÓN Y
SEGUIMIENTO LA AUDITORÍA
DISTRIBUCIÓN
Acciones
Elaboración de
correctivas, Informe aprobado y
informe de
preventivas o de distribuido
auditoría
mejora
Excelencia de
los sistemas de
Mejora gestión
continua del integrados
Sistematización sistema de
de la gestión gestión
Inicio del
cambio
CICLO DE
IMPLEMENTACIÓN
CONOCER Y
GESTIONAR RIESGOS
Para
Actuar de manera
metódica y
sistemática
Revisar y mejorar la
información
2. Tipos de Auditoría
Si la realiza la
Organización o
personal externo
Auditoría Auditoría
Interna Externa
Debe conocer y
No tiene relación
cumplir las
laboral con la
normas de
organización
conducta
Independencia,
Forma parte del
experiencia,
control interno.
visión globlal.
3. Actividades de la auditoría
INICIO DE LA REALIZACIÓN DE
PREPARACIÓN
AUDITORÍA LAS ACTIVIDADES
ACTIVIDADES
DE LA
AUDITORÍA
PREPARACIÓN,
ACTIVIDADES DE FINALIZACIÓN DE
APROBACIÓN Y
SEGUIMIENTO LA AUDITORÍA
DISTRIBUCIÓN
4. Funciones de un auditor
FUNCIONES DEL
AUDITOR
Estructura y De Organización
procedimiento una
UNIDAD 2: PROYECTO DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN (PRIMERA PARTE)
Objetivos Planificación
Procedimientos Alcance
Criterios Métodos
Recursos Requisitos
Un proyecto de auditoría de un SGSI, se divide en tres fases: Planificación, Ejecución y
Cierre.
2. ¿Quién es el responsable de la planificación de un SGSI?
El auditor jefe es el responsable de preparar la planificación de proyecto de auditoría,
de acuerdo a la información contenida en el programa de auditoría y en la
documentación. Está planificación se plasmará en el plan de auditoría.
El plan de auditoría debe contemplar y facilitar la programación temporal de las
actividades de auditoría, así como la coordinación que permitan cumplir los objetivos
fijados.
El plan de auditoría de un SGSI debe contemplar:
Objetivos
Alcance
Criterio
Localización
Métodos
Funciones y responsabilidades
Asignación de recursos
3. ¿Cuáles son los beneficios de un SGSI? Elabore un organizador gráfico
Incremento de
Mejora Garantía de
nivel de
continua continuidad
confianza
DATOS DE LA EMPRESA
PROTECOMPU C.A.
IMPLEMENTACIÓN DE CENTROS DE DATOS
CENTRO 2
AV. FELIPE PEZO CAMPUZANO, BODEGA 4, LA CARLOTA
GUAYAQUIL
CENTRO 3
AV. 24 DE MAYO N° 1087 Y AV. SOLANO, CONJUNTO COMERCIAL PORTALES DEL RÍO
BLOQUE C L2C
CUENCA
REUNIÓN INICIAL
Auditoría de los requisitos relacionados con aspectos horizontales del sistema de gestión:
Control de documentación y registros, no conformidades, acciones correctivas y
preventivas. Asimismo, se pondrá especial atención en evaluar las auditorías internas y la
revisión por la dirección que planifican y realizan. Se indica en la matriz adjunta, los
elementos de la Norma ISO 27001 para los que está previsto realizar la auditoría
completa.
Evaluación general de los restantes requisitos aplicables al sistema de gestión, mediante
visita a las distintas instalaciones, áreas y departamentos de la Organización con el fin de:
o Recopilar la información necesaria correspondiente al alcance del sistema de
gestión, a los procesos y a las ubicaciones de la Organización, así como a los
aspectos legales y reglamentarios relacionada a su cumplimiento.
o Determinar el grado de implantación del sistema y confirmar si la Organización
está preparada para acometer la fase II, obteniendo la información suficiente para
planificar la fase II.
REUNIÓN FINAL
(GESTIÓN DE SEGURIDAD DE LA
7.5 Documentación
7.3 Concienciación
7.4 Comunicación
7.2 Competencias
6 Planificación
PROCESO
7.1 Recursos
CENTRO
8 Operación
5 Liderazgo
10 Mejora
DÍA
DPTO
7 Soporte
HORA AUDITOR
DOCUMENTO
ACTIVIDAD
(GESTIÓN DE SEGURIDAD DE LA
A.18 Cumplimiento
A.10 Criptografía
PROCESO
CENTRO
DÍA
DPTO
HORA AUDITOR
DOCUMENTO
ACTIVIDAD
seguridad de la
información
política de
Dispone de una
política de Estar aprobado
Debe Tener Apoyo y patrocinio
seguridad de la formalmente
información
responsabilidades
T2. Revisión de
las funciones y
Estar al
Ha asignado y Garantizar que
corriente
comunicado el sistema se
sobre el
las funciones ajusta al ISO
desempeño
de seguridad 27001
del SGSI
A4. Revisión de la identificación y tratamiento del riesgo
Documento donde
Seguimiento y la Objetivos de la Identificar nuevos
se registran las
revisión organización riesgos
acciones
A9. REVISIÓN DE LA
DOCUMENTACIÓN
DEL SGSI
Registros se
Cuerpo documental Procedimiento protegen de
Verificar
del SGSI documentado acuerdo a la
clasificación
Controles
Almacenamiento,
Si cumple con los
Que ha pasado por Publicaciones de protección,
mínimos que exige
alto cambio recuperación del
ISO 27001
tiempo
Documentos Para
T2. Auditoria de la
T1. Revisión de revisión por la
auditorías internas dirección de SGSI
Comprobar que ha
planificado y
realizado las Revisiones una vez al
auditorías año
Reflexiones y
Comprobar el sentido resultados
de las reuniones