| Dominios | Objetivos | Controles |
| 5. Políticas de seguridad | 5.1 Directrices de la Dirección en seguridad de la información | 5.1.1 Conjunto de políticas para la seguridad de la información |
| 5.1.2 Revisión de las políticas para la seguridad de la información | ||
| 6. Aspectos Organizativos SI | 6.1 Organización interna | 6.1.1 Asignación de responsabilidades para la SI |
| 6.1.2 Segregación de tareas | ||
| 6.1.3 Contacto con las autoridades | ||
| 6.1.4 Contacto con grupos de interés especial | ||
| 6.1.5 Seguridad de la información en la gestión de proyectos | ||
| 6.2 Dispositivos para movilidad y teletrabajo | 6.2.1 Política de uso de dispositivos para movilidad | |
| 6.2.2 Teletrabajo | ||
| 7. Seguridad Ligada a los recursos humanos | 7.1 Antes de la contratación | 7.1.1 Investigación de antecedentes |
| 7.1.2 Términos y condiciones de contratación | ||
| 7.2 Durante la contratación | 7.2.1 Responsabilidades de gestión | |
| 7.2.2 Concienciación, educación y capacitación en SI | ||
| 7.2.3 Proceso disciplinario | ||
| 7.3 Cese o cambio de puesto de trabajo | 7.3.1 Cese o cambio de puesto de trabajo | |
| 8. Gestión Activos | 8.1 Responsabilidad sobre los activos | 8.1.1 Inventario de activos |
| 8.1.2 Propiedad de los activos | ||
| 8.1.3 Uso aceptable de los activos | ||
| 8.1.4 Devolución de activos | ||
| 8.2 Clasificación de la información | 8.2.1 Directrices de clasificación | |
| 8.2.2 Etiquetado y manipulado de la información | ||
| 8.2.3 Manipulación de activos | ||
| 8.3 Manejo de los soportes de almacenamiento | 8.3.1 Gestión de soportes extraíbles | |
| 8.3.2 Eliminación de soportes | ||
| 8.3.3 Soportes físicos en tránsito | ||
| 9. Control de Accesos | 9.1 Requisitos de negocio para el control de accesos | 9.1.1 Política de control de accesos |
| 9.1.2 Control de acceso a las redes y servicios asociados | ||
| 9.2 Gestión de acceso de usuario | 9.2.1 Gestión de altas/bajas en el registro de usuarios | |
| 9.2.2 Gestión de los derechos de acceso asignados a usuarios | ||
| 9.2.3 Gestión de los derechos de acceso con privilegios especiales | ||
| 9.2.4 Gestión de información confidencial de autenticación de usuarios | ||
| 9.2.5 Revisión de los derechos de acceso de los usuarios | ||
| 9.2.6 Retirada o adaptación de los derechos de acceso | ||
| 9.3 Responsabilidades del usuario | 9.3.1 Uso de información confidencial para la autenticación | |
| 9.4 Control de acceso a sistemas y aplicaciones | 9.4.1 Restricción del acceso a la información | |
| 9.4.2 Procedimientos seguros de inicio de sesión | ||
| 9.4.3 Gestión de contraseñas de usuario | ||
| 9.4.4 Uso de herramientas de administración de sistemas | ||
| 9.4.5 Control de acceso al código fuente de los programas | ||
| 10. Cifrado | 10.1 Controles criptográficos | 10.1.1 Política de uso de los controles criptográficos |
| 10.1.2 Gestión de claves: | ||
| 11. Seguridad física y Ambiental | 11.1 Áreas seguras | 11.1.1 Perímetro de seguridad física |
| 11.1.2 Controles físicos de entrada | ||
| 11.1.3 Seguridad de oficinas, despachos y recursos | ||
| 11.1.4 Protección contra las amenazas externas y ambientales | ||
| 11.1.5 El trabajo en áreas seguras | ||
| 11.1.6 Áreas de acceso público, carga y descarga | ||
| 11.2 Seguridad de los equipos | 11.2.1 Emplazamiento y protección de equipos | |
| 11.2.2 Instalaciones de suministro | ||
| 11.2.3 Seguridad del cableado | ||
| 11.2.4 Mantenimiento de los equipos | ||
| 11.2.5 Salida de activos fuera de las dependencias de la empresa | ||
| 11.2.6 Seguridad de los equipos y activos fuera de las instalaciones | ||
| 11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento | ||
| 11.2.8 Equipo informático de usuario desatendido | ||
| 11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla | ||
| 12. Seguridad en la Operativa | 12.1 Responsabilidades y procedimientos de operación | 12.1.1 Documentación de procedimientos de operación |
| 12.1.2 Gestión de cambios | ||
| 12.1.3 Gestión de capacidades | ||
| 12.1.4 Separación de entornos de desarrollo, prueba y producción | ||
| 12.2 Protección contra código malicioso | 12.2.1 Controles contra el código malicioso | |
| 12.3 Copias de seguridad | 12.3.1 Copias de seguridad de la información | |
| 12.4 Registro de actividad y supervisión | 12.4.1 Registro y gestión de eventos de actividad | |
| 12.4.2 Protección de los registros de información | ||
| 12.4.3 Registros de actividad del administrador y operador del sistema | ||
| 12.4.4 Sincronización de relojes | ||
| 12.5 Control del software en explotación | 12.5.1 Instalación del software en sistemas en producción | |
| 12.6 Gestión de la vulnerabilidad técnica | 12.6.1 Gestión de las vulnerabilidades técnicas | |
| 12.6.2 Restricciones en la instalación de software | ||
| 12.7 Consideraciones de las auditorías de los sistemas de información | 12.7.1 Controles de auditoría de los sistemas de información | |
| 13. Seguridad en las Telecomunicaciones | 13.1 Gestión de la seguridad en las redes | 13.1.1 Controles de red |
| 13.1.2 Mecanismos de seguridad asociados a servicios en red | ||
| 13.1.3 Segregación de redes | ||
| 13.2 Intercambio de información con partes externas | 13.2.1 Políticas y procedimientos de intercambio de información | |
| 13.2.2 Acuerdos de intercambio | ||
| 13.2.3 Mensajería electrónica | ||
| 13.2.4 Acuerdos de confidencialidad y secreto | ||
| 14. Adquisición, desarrollo y Mantenimiento de los sistemas de información | 14.1 Requisitos de seguridad de los sistemas de información | 14.1.1 Análisis y especificación de los requisitos de seguridad |
| 14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas | ||
| 14.1.3 Protección de las transacciones por redes telemáticas | ||
| 14.2 Seguridad en los procesos de desarrollo y soporte | 14.2.1 Política de desarrollo seguro de software | |
| 14.2.2 Procedimientos de control de cambios en los sistemas | ||
| 14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo | ||
| 14.2.4 Restricciones a los cambios en los paquetes de software | ||
| 14.2.5 Uso de principios de ingeniería en protección de sistemas | ||
| 14.2.6 Seguridad en entornos de desarrollo | ||
| 14.2.7 Externalización del desarrollo de software | ||
| 14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas | ||
| 14.2.9 Pruebas de aceptación | ||
| 14.3 Datos de prueba | 14.3.1 Protección de los datos utilizados en prueba | |
| 15. Relaciones con Suministradores | 15.1 Seguridad de la información en las relaciones con suministradores | 15.1.1 Política de seguridad de la información para suministradores |
| 15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores | ||
| 15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones | ||
| 15.2 Gestión de la prestación del servicio por suministradores | 15.2.1 Supervisión y revisión de los servicios prestados por terceros | |
| 15.2.2 Gestión de cambios en los servicios prestados por terceros | ||
| 16. Gestión de Incidentes | 16.1 Gestión de incidentes de seguridad de la información y mejoras | 16.1.1 Responsabilidades y procedimientos |
| 16.1.2 Notificación de los eventos de seguridad de la información | ||
| 16.1.3 Notificación de puntos débiles de la seguridad | ||
| 16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones | ||
| 16.1.5 Respuesta a los incidentes de seguridad | ||
| 16.1.6 Aprendizaje de los incidentes de seguridad de la información | ||
| 16.1.7 Recopilación de evidencias | ||
| 17. Aspectos de la SI en la Gestión de la Continuidad de Negocio | 17.1 Continuidad de la seguridad de la información | 17.1.1 Planificación de la continuidad de la seguridad de la información |
| 17.1.2 Implantación de la continuidad de la seguridad de la información | ||
| 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información | ||
| 17.2 Redundancias | 17.2.1 Disponibilidad de instalaciones para el procesamiento de la información | |
| 18. Cumplimiento | 18.1 Cumplimiento de los requisitos legales y contractuales | 18.1.1 Identificación de la legislación aplicable |
| 18.1.2 Derechos de propiedad intelectual (DPI) | ||
| 18.1.3 Protección de los registros de la organización | ||
| 18.1.4 Protección de datos y privacidad de la información personal | ||
| 18.1.5 Regulación de los controles criptográficos | ||
| 18.2 Revisiones de la seguridad de la información | 18.2.1 Revisión independiente de la seguridad de la información | |
| 18.2.2 Cumplimiento de las políticas y normas de seguridad | ||
| 18.2.3 Comprobación del cumplimiento |
Procedimientos de Seguridad en la Información
Los procedimientos de seguridad en la información son todos aquellos que muestran como implementar las políticas, estándares, mejores prácticas y guías enfocadas a garantizar la seguridad en la información, son transversales a las tecnologías, áreas o personas que se involucren. Su objetivo es delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad. El diseño de cada procedimiento debe estar planteado de modo que permita implementar uno o varios controles de seguridad informática, y que tenga aplicabilidad en las distintas áreas o procesos de una organización. Estos son algunos ejemplos de procedimientos implementables:
- Para recursos humanos:
- Procedimiento de capacitación y sensibilización del personal
- Procedimiento de ingreso y desvinculación del personal
- Para gestión de activos:
- Procedimiento de identificación y clasificación de activos
- Para control de acceso
- Procedimiento de gestión de usuarios y contraseñas
- Para seguridad física y del entorno:
- Procedimiento de control de acceso físico
- Procedimiento de retiro de activos
- Para seguridad de las operaciones:
- Procedimiento de gestión de cambios
- Procedimiento de separación de ambientes
- Para seguridad de las comunicaciones:
- Procedimiento de aseguramiento de servicios en la red
- Para relaciones con los proveedores:
- Procedimiento para el tratamiento de la seguridad en los acuerdos con los proveedores
- Para adquisición, desarrollo y mantenimiento de sistemas de información:
- Procedimiento adquisición, desarrollo y mantenimiento de software
- Procedimiento de control software
- Para gestión de incidentes de seguridad de la información:
- Procedimiento de gestión de incidentes de seguridad de la información
- Para aspectos de seguridad de la información de la gestión de continuidad de negocio:
- Procedimiento de gestión de la continuidad de negocio
Roles en la Seguridad en la Información
Los roles o funciones que desempeñan las personas dentro de la Seguridad de la Información se deben identificar fácilmente dentro de un Sistema de Gestión de Seguridad Informática, y corresponden al nivel de compromiso de cada miembro de la organización para lograr la meta de preservar la seguridad informática. Por ejemplo:
- Dirección General: Responsable de la dirección estratégica dentro de la seguridad informática y la implementación de un SGSI. Es quien asigna recursos y responsabilidades y verifica y aprueba las directrices de la seguridad en la información.
- Nivel directivo: Aplican las directrices de la dirección. Se encargan de liderar y apoyar la implementación de las políticas y directrices dentro de cada una de las áreas correspondientes. También asignan roles y responsabilidades de Seguridad en la Información en cada una de las áreas y gestionan los recursos asignados.
- Oficial de Seguridad de la Información: Es el encargado de velar por la estructura de los procesos que velan por la seguridad en a información. Se encarga de levantar activos, de analizar los riesgos, de definir el plan de contingencia, de actualizar y difundir las políticas de seguridad en la información.
- Comité Operativo de Seguridad de la Información: Esta integrado por los delegados de cada área, y son los encargados de validar la documentación asociada a la seguridad en la información, fomentar las buenas practicas de seguridad, y participar en las jornadas de implementación de SGSI.
- Propietario Activo: Es el funcionario activo, responsable de los distintos activos de la información, y es el encargado de aplicar los controles, políticas y directrices de seguridad establecidos para cada uno de los activos.
- Custodio del activo: Es el funcionario a quien se le asigna un activo para ser usado en su labor diaria. Es el encargado directo de la aplicación de los controles, y de reportar inmediatamente los incidentes que se presenten.
- Responsable del riesgo: Es un rol asumido por el dueño del proceso. Es quien debe conocer la valoración del riesgo, así como efectuar el seguimiento permanente a la aplicación de los controles de los riesgos.
Seguridad Informática Como Proceso
Formalmente el termino proceso hace referencia a una secuencia de pasos con un orden lógico y unas partes claramente identificables, que se enfoca en lograr algún resultado específico, con el fin de mejorar la productividad de algo, para establecer un orden o eliminar algún tipo de problema. En estos ámbitos, un proceso se entiende como algo que está ocurriendo, o sea, un elemento activo que bien puede ameritar control, dirección, evaluación, etc.
La Seguridad Informática debe ser descrita como un proceso, ya que es un conjunto de técnicas, mecanismos, políticas, documentos, métricas estándares, protocolos, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información; que se caracterizan por ser organizadas, medibles, identificables, interrelacionadas y que buscan como finalidad máxima, la de proteger la confidencialidad, la integridad y la disponibilidad de la información dentro de las organizaciones. La seguridad informática comprende la protección del software (bases de datos, metadatos, archivos), del hardware, de las redes y todo lo que la organización valore como sensible para su operación, y en función a esto se pueden identificar múltiples actores con distintos roles en la seguridad informática (directivos, colaboradores, terceros, etc.)
Requisitos de la Norma ISO/IEC 27001:2013
La Norma ISO/IEC 27001:2013 identifica los siguientes requisitos (ISO/IEC 27001, 2013) que deben cumplirse para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Todos ellos son genéricos y están previstos para ser aplicados en cualquier tipo de organización, indiferente a su tamaño o actividad.
- REQUISITO GENERAL:
- La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organización y de los riesgos que enfrenta. Para los propósitos de esta norma, el proceso usado se basa en el modelo PHVA.
- ESTABLECIMIENTO Y GESTIÓN DEL SGSI:
- Definir el alcance y límites del SGSI.
- Definir una política de SGSI
- Definir el enfoque organizacional para la valoración del riesgo, con la metodología de valoración del riesgo más adecuada al SGSI y los criterios para la aceptación de riesgos
- Identificar los activos, las amenazas, las vulnerabilidades, y los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos
- Analizar y evaluar los riesgos
- Identificar y evaluar las opciones para el tratamiento de los riesgos
- Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos
- Obtener la aprobación de la dirección sobre los riesgos residuales propuestos
- Obtener autorización de la dirección para implementar y operar el SGSI.
- Elaborar una declaración de aplicabilidad
- IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI:
- Formular e implementar un plan para el tratamiento de riesgos
- Implementar los controles para el tratamiento de los riesgos
- Definir cómo medir la eficacia de los controles
- Implementar programas de formación y de toma de conciencia
- Gestionar la operación del SGSI
- Gestionar los recursos del SGSI
- SEGUIMIENTO Y REVISIÓN DEL SGSI:
- Ejecutar procedimientos de seguimiento y revisión y otros controles, que permitan detectar errores en los resultados del procesamiento, identificar los incidentes e intentos de violación a la seguridad y determinar si las acciones tomadas para solucionar un problema de violación a la seguridad fueron eficaces
- Emprender revisiones regulares de la eficacia del SGSI
- Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
- Revisar las valoraciones de los riesgos, y revisar el nivel de riesgo residual y riesgo aceptable identificado.
- Realizar auditorías internas del SGSI
- Emprender una revisión del SGSI
- Actualizar los planes de seguridad
- Registrar acciones y eventos que podrían tener impacto en la eficacia o el desempeño del SGSI
- MANTENIMIENTO Y MEJORA DEL SGSI:
- Implementar las mejoras identificadas en el SGSI
- Emprender las acciones correctivas y preventivas y aplicar lecciones aprendidas
- Comunicar las acciones y mejoras a todas las partes interesadas
- Asegurar que las mejoras logran los objetivos previstos
- REQUISITOS DE DOCUMENTACIÓN:
- La documentación del SGSI debe incluir:
- Declaraciones documentadas de la política y objetivos del SGSI
- El alcance del SGSI
- La documentación del SGSI debe incluir:
- Los procedimientos y controles que apoyan el SGSI
- Descripción de la metodología de valoración de riesgos
- Informe de valoración de riesgos
- Plan de tratamiento de riesgos
- Los procedimientos documentados de sus procesos de seguridad de la información,
- La declaración de aplicabilidad.
SERIE ISO/IEC 27000
| IDENTIFICADOR DENTRO DE LA SERIE ISO/IEC 27000 | NOMBRE DE LA NORMA | DESCRIPCIÓN | ÚLTIMA VERSIÓN / REVISIÓN |
| ISO/IEC 27000 | Sistema de Gestión de la Seguridad de la Información – Generalidades y vocabulario | Es el vocabulario e información base para la implementación del SGSI. | Quinta versión: febrero 2018 ISO/IEC 27000:2018 |
| ISO/IEC 27001 | Sistema de Gestión de la Seguridad de la Información – Requisitos | Es Certificable para las empresas. Especifica requisitos para implementar el SGSI. | Revisada en septiembre de 2013 |
| ISO/IEC 27002 | Buenas prácticas para controles de la seguridad de la información | Es el código de buenas prácticas para la gestión de la seguridad en la información. | Última versión: 27002:2013, de setiembre de 2013 |
| ISO/IEC 27003 | Guía de implementación del sistema de gestión de la seguridad de la información | Da directrices para implementar el SGSI | Publicada el 1 de febrero de 2010 |
| ISO/IEC 27004 | Gestión de la seguridad de la información – Medición | Proporciona recomendaciones para implementar métricas para la gestión de la seguridad en la información | Publicada el 7 de diciembre de 2009 |
| ISO/IEC 27005 | Gestión de riesgos de seguridad de la información | Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información | Publicada en junio de 2008 Revisada en junio de 2011 |
| ISO/IEC 27006 | Requisitos para empresas de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información | Describe los requisitos de deben cumplir las empresas que ofrecen certificación del SGSI | Publicada en 2007 y revisada en diciembre de 2011 y septiembre de 2015 |
| ISO/IEC 27007 | Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información | Recomendaciones para auditar un SGSI | Publicada en noviembre de 2011 |
| ISO/IEC 27008 | Directrices para auditores sobre control de la seguridad de la información | Es una guía para auditar los controles de seguridad implementados | Publicada en octubre de 2011 |
| ISO/IEC 27009 | Aplicación específica de la norma ISO/IEC 27001 para cada sector – Requisitos | Otorga una orientación sobre la inclusión de requisitos específicos para cada sector o actividad, además de los establecidos por el SGSI | Publicada en junio de 2016 |
| ISO/IEC 27010 | Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional | Da indicaciones para gestionar la seguridad de la información cuando se comparte entre distintas organizaciones. | Publicada en octubre de 2012 y revisada en noviembre de 2015 |
| ISO/IEC 27011 | Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC 27002 | Especifica directrices para la gestión de la seguridad en la información en empresas de telecomunicaciones | Publicada en diciembre de 2008 y fue revisada en diciembre de 2016 |
| ISO/IEC 27013 | Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/IEC 20000-1 | Describe como implementar de forma integral de un SGSI según ISO 27001, y un Sistema de Gestión de Servicios (SGS), según ISO 20000. | Publicada en 2016 |
| ISO/IEC 27014 | Gobernanza de la seguridad de la información | Guía de gobierno corporativo de la seguridad de la información. | Publicada en abril de 2013 |
| ISO/IEC 27015 | Directrices para gestión de la seguridad de la información en servicios financieros | Especifica directrices para la gestión de la seguridad en la información en el sector financiero | Publicada en noviembre de 2012 |
| ISO/IEC 27016 | Directrices para gestión de la seguridad de la información – Empresas de economía | Especifica directrices para la gestión de la seguridad en la información en empresas de economía | Publicada en febrero de 2014 |
| ISO/IEC 27017 | Código de práctica para los controles de seguridad de la información basados en ISO / IEC 27002 para servicios en la nube | Especifica directrices para la gestión de la seguridad en la información en computación en la nube alineada con ISO/IEC 27002 | Publicada en diciembre de 2015 |
| ISO/IEC 27018 | Código de práctica para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII | Es la guía para controlar la protección de datos para servicios de computación en cloud computing | Publicado en julio de 2014 |
| ISO/IEC 27019 | Pautas de gestión de seguridad de la información basadas en ISO / IEC 27002 para sistemas de control de procesos específicos de la industria de servicios públicos de energía | Especifica directrices para la gestión de la seguridad en la información en empresas del sector energético | Publicada el 17 de Julio de 2013 |
| ISO/IEC 27021 | Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información. | Especifica los requisitos para los profesionales dedicados al SGSI | En desarrollo |
| ISO/IEC 27031 | Pautas para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio | Es una guia de adecuación de la tecnologia TIC para la continuidad del negocio | Publicada el 01 de Marzo de 2011 |
| ISO/IEC 27032 | Pautas para la ciberseguridad | Especifica directrices para la gestión de la seguridad en la información en la cibernética | Publicada el 16 de Julio de 2012 |
| ISO/IEC 27033 | Seguridad de la red | Especifica directrices para la gestión de la seguridad en la información en Redes | En desarrollo |
| ISO/IEC 27034 | Seguridad de las aplicaciones |
Especifica directrices para la gestión de la seguridad en la información en las aplicaciones informáticas | En desarrollo |
| ISO/IEC 27035 | Gestión de incidentes de seguridad de la información |
Proporciona una guía sobre la gestión de incidentes de seguridad en la información | Publicada el 17 de Agosto de 2011 |
| ISO/IEC 27036 | Seguridad en las relaciones con proveedores | 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, guía de seguridad para entornos de servicios Cloud | Publicada en 2014 |
| ISO/IEC 27037 | Pautas para la identificación, recolección, adquisición y preservación de evidencia digital |
Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales | Publicada el 15 de Octubre de 2012 |
| ISO/IEC 27039 | Selección, despliegue y operaciones de sistemas de detección y prevención de intrusos (IDPS) | Orienta la implementación segura de istemas de detección y prevención de intrusión (IDS/IPS) | Publicada el 11 de Febrero de 2015 |
| ISO/IEC 27799 | Gestión de la seguridad de la información en salud utilizando ISO / IEC 27002 |
Proporciona directrices para apoyar la interpretación y aplicación de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes | Publicada el 12 de Junio de 2008, revisión en Julio 2016 |
GENERALIDADES PROGRAMA DE AUDITORÍA ISO 19011 DE 2012
La norma ISO 19011 de 2012 establece en su capítulo 5, numeral 5.1: “Una organización que necesita llevar a cabo auditorías debería establecer un programa de auditoría que contribuya a la determinación de la eficacia del sistema de gestión auditado. El programa de auditoría puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión, llevadas a cabo de manera individual o combinada.
La alta dirección debería asegurarse de que los objetivos del programa de auditoría se han establecido y que se asigna una o más personas competentes para establecer el programa de auditoría. El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza de la organización que se audita, así como en la naturaleza, funcionalidad, complejidad y nivel de madurez del sistema de gestión que se va a auditar. Debería darse prioridad a asignar los recursos del programa de auditoría para auditar los asuntos de importancia dentro del sistema de gestión. Estos pueden incluir las características clave de la calidad de un producto o los peligros relativos a la salud y la seguridad, o los aspectos ambientales significativos y su control.
El programa de auditoría debería incluir la información y los recursos necesarios para organizar y llevar a cabo sus auditorías de forma eficaz y eficiente dentro de los periodos de tiempo especificados y también puede incluir lo siguiente:
- Objetivos para el programa de auditoría y para las auditorías individuales
- Alcance/número/tipos/duración/ubicaciones/calendario de las auditorías
- Procedimientos del programa de auditoría
- Criterios de auditoría
- Métodos de auditoría
- Selección de equipos auditores
- Recursos necesarios, incluyendo viajes y alojamiento
- Procesos para tratar la confidencialidad, la seguridad de la información, la salud y la seguridad y otros asuntos similares.
La implementación del programa de auditoría debería seguirse y medirse para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería revisarse para identificar posibles mejoras”.
