138425324-Talleres-ISO-27001-v2.pdf

April 30, 2018 | Author: Salomon Aun | Category: Information Security, Planning, Comptroller, Technology, Computing


Comments



Description

Curso de Auditores Internos de Norma ISO 27001:2005TALLER No 1 ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA OBJETIVO  Brindar una introducción al estudiante de la metodología de casos, utilizada durante el curso de formación de auditores internos de un Sistema de Gestión de Seguridad de la información ISMS ISO 27001. METODOLOGIA  Para realizar este taller, el participante en el Curso de Auditoria Interna deberá realizar el trabajo individual.  Deben sustentar sus respuestas al Tutor del curso con sus respuestas.  En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y de ISO 27001 (No utilizar la norma). TIEMPO  Tiempo máximo de 40 minutos para el desarrollo del taller y tiempo de revisión Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS! Caso Cumple o no Cumple 1 2 3 4 5 6 Todos los casos de este taller tienen relación en la organización XUAN INC. CASO No 1: La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información. CASO No 2: La organización incluyó en el programa de auditorias la realización de auditorias de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorias anteriores en un período de seis meses. La organización esta decidiendo a quien designa como responsable de esta actividad. CASO No 3: La organización ha definido en el SGSI el proceso de Talento Humano, en este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso legal para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual Página 1 Curso de Auditores Internos de Norma ISO 27001:2005 de funciones específicamente auditores Internos al SGSI, los siguientes requisitos: Educación: Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber realizado dos auditorias internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita, observador, persistente y manejo de situaciones difíciles. En la revisión de registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica que los registros de habilidades y experiencia están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez ingeniero de sistemas con evidencia de diploma, certificado auditor interno aprobado y verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de ingeniero electrónico con especialización en auditorias internas al SGSI la cual evidenció registro de aprobación, por último Gian Wu certificado de ingeniero aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de auditor interno, el dueño del proceso responde que Gian Wu con la experiencia de trabajar durante 10 años en la organización y por su educación ha sido mas que suficiente. CASO No 4: La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de nivel de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de firewall, gestión de ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los SLA, por lo tanto no ha sido necesario realizar auditorias a intervalos regulares. CASO No 5: En su revisión de las auditorias internas realizadas en el último año, usted evidencia la inclusión de 2 auditorias internas en el programa de la organización XUAN Inc, registra en su lista de comprobación la realización de auditorias internas a todos los procesos del SGSI en el primer semestre, en el último semestre evidencia que no se incluyó al proceso de gestión de cambios y gestión de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las últimas dos auditorias no se detectó no conformidades. CASO No 6: La organización Zing Productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la red. Página 2 Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 2 ISO 27001 - CUMPLIMIENTO DE LA NORMA OBJETIVO  Mejorar el entendimiento de la norma, con relación de los requisitos establecidos y su relación con situaciones reales en las organizaciones. METODOLOGIA  En cada una de las siguientes situaciones, el participante en el curso de formación de auditores internos debe determinar las cláusulas de ISO/IEC 27001:2005 que puede aplicar. (No cumplimiento).  Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones. TIEMPO  Tiempo máximo de 45 minutos para el desarrollo del taller.  Se destina tiempo para revisión. Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS! Página 3 Curso de Auditores Internos de Norma ISO 27001:2005 HOJA DE TRABAJO INTEGRANTES: ELEMENTOS QUE APLICAN CASO No 1 CASO No 2 CASO No 3 CASO No 4 CASO No 5 CASO No 6 CASO No 7 CASO No 8 CASO No 9 1. La organización Online And Transaction S.A., utiliza las transacciones en línea (internet) como medio de pago a sus proveedores y también para el envió de documentación importante a sus clientes. Se ha implementado controles rigurosos para garantizar la integridad de información transmitida, no se ha identificado riesgos al respecto. 2. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al encargado del mismo los registros de mantenimiento de equipos, registros gestionados en la base Informática “ATENEA” donde según la explicación recibida se almacena toda la información de los computadores de la empresa, aproximadamente 500. Usted observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los mantenimientos realizados. 3. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontró la aprobación por la alta dirección. Página 4 porque la alta Dirección esta muy comprometida. en la norma ISO 27001. el auditor entrevistó al encargado del centro de cómputo ¿Cuales controles se han establecido para el centro de cómputo? El único procedimiento es el sistema de control de entrada por llave.. el Gerente entrega unos documentos y explica que ha sido un trabajo muy bueno realizado para definir las características de cada cargo. En Diciembre. Página 5 . 5. La alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de su implementación. la cual pertenece a la nomina de la agencia de limpieza ZZZ. entrega un programa que define una frecuencia de cada seis (6) meses. usted detalla y observa que los problemas detectados en el mes octubre son los mismos del mes de Julio. sólo observa definidas las responsabilidades. ¿Cómo ha definido las competencias para el Director de Producción. no hay un enfoque hacia la valoración del riesgo. Usted pregunta ¿Cuántas no conformidades fueron encontradas?. al llegar al proceso de mejora continua. el Gerente de la empresa explica que cuando usted vaya al proceso de producción no va encontrar al Director de Producción ni a dos Operadores fundamentales para el mismo. es decir. el encargado del centro de cómputo y el personal de limpieza. usted evidencia ejecución en julio 15 y octubre 30. El auditor al revisar la planilla de ingreso al centro de cómputo. no evidencia registro de la persona entrevistada. el auditor evidencio que no hay una descripción de la metodología para valoración de riesgos. Usted pregunta ¿cuanto hace que fueron retirados? explica que desde hace tres meses. Usted verifica los registros de terminación de la contratación laboral y no se encuentran. 9. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo. la señora que realiza la limpieza. además escribe. después de revisarlos. 7. no se han reemplazado porque el jefe financiero no ha designado recursos y por lo tanto no han sido reemplazados. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario que indica “todas las transacciones por internet deben usar llave electrónica inmediatamente”. usted solicita los registros de las auditorias realizadas. usted es designado como auditor líder para realizar una auditoria interna a Financiera Suprema S. 6. porque el personal es contratado a termino fijo. La última verificación fue hace trece (13) meses. todas cerradas eficazmente. Se revisó el listado de personal autorizado para disponer de llaves y no se encontró el personal de limpieza y no hay evidencia de la comunicación de la política de seguridad de la información a la agencia de limpieza.Curso de Auditores Internos de Norma ISO 27001:2005 4. ¿Cuál es la periodicidad de verificación de los sistemas de información?. revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificación.A. Usted audita al responsable de tecnología de información. 8. debido a que fueron retirados por problemas de bajo desempeño. En la auditoria de certificación de la organización Sistema Gestión SG. Durante la realización de auditoria en la organización “SSC Graphics”. dejo la puerta abierta mientras utilizo la aspiradora. ofrece servicios de financiación de créditos al sector solidario. usted escribe en su lista de chequeo. el responsable indica que en Julio/15: once (11) y en Octubre/30: trece (13). la última revisión de los derechos de acceso fue hace dos años. Operador del servidor de correo y Operador del servidor de aplicaciones?. En la auditoria realizada en la organización del sector estatal Ministerio Fomento Empresarial. El auditor entrevista a la señora de limpieza que se encuentra en el centro de computo ¿Cuál es el procedimiento utilizado para realizar la limpieza? Por ejemplo al realizar la limpieza. el responsable menciona que se cambió el intervalo a un año y además por el cambio de la infraestructura tecnológica. Los servicios que están dentro del alcance del SGSI incluyen: Comercialización Global: responsable de los procesos de venta de servicios y mantenimiento de clientes Modelamiento Financiero: Proceso responsable del desarrollo de los casos de negocio de clientes potenciales de los servicios de SAS Planificación Tecnológica responsable del soporte y mantenimiento de la plataforma global de call center Comunicación Oportuna: Proceso misional responsable de la prestación de servicios de call center a los clientes de los bancos que compran los servicios de SAS Página 6 .Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 3 ISO 27001 – ELABORACIÓN DEL PROGRAMA DE AUDITORIA OBJETIVO  Permitir al estudiante fortalecer los conceptos sobre el diseño del programa de auditoria. 250 empleados en Londres y 500 en Nueva York. el participante en el Curso de Auditoria Interna deberá realizar el trabajo en grupos designados por el tutor  Deben sustentar su propuesta al Tutor del curso con sus respuestas.  Los estudiantes deben leer el caso y elaborar una propuesta de programa de auditoría. el sistema aún no ha sido certificado y la compañía tiene interés en obtener su certificado de cumplimiento debido a que durante el siguiente año participará en convocatorias estatales. lo que le permite prestar servicios sin interrupción 24 horas al día a todos los clientes de los bancos a los que presta sus servicios SAS. Londres y Nueva York. Su plan de personal está compuesta por 400 empleados en Deli. Dentro de su planta de empleados ha destinado 3 oficiales de seguridad de la información uno para cada sede y un gerente de servicios de tecnología que coordinar la operación global de los call center. METODOLOGIA  Para realizar este taller. SAS tiene como misión la prestación de servicios de call center tercerizado a clientes del sector bancario de habla inglesa a nivel mundial. Su infraestructura de comunicaciones está tercerizada con proveedores locales que se interconectan globalmente. La organización tiene 3 sedes en las ciudades de Nueva Deli. se pueden utilizar los formatos de ejemplo al final del taller o emplear otros formatos que cumplan con los requisitos del programa de auditoria de acuerdo con la norma ISO27001:2005 TIEMPO  Tiempo máximo de 40 minutos para el desarrollo del taller y tiempo de revisión La organización Services and Support ha implantado un sistema de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2005. Fechas programadas (Identificación de la actividad.Curso de Auditores Internos de Norma ISO 27001:2005 Programa de auditoria para (nombre de organización) Fecha de elaboración del programa de auditoría Período del programa de auditoría Responsable del programa Objetivos del programa de auditoria Auditorias que componen el programa de auditoria Auditoria Aspecto a auditar (proceso. requisito) auditoria) Detalle de la auditorias Auditoria Objetivo(s) Fecha(s) programas Aspecto(s) a Auditar Auditor(es) designados Recursos técnicos Recursos Financieros Recursos Humanos Otros Recursos Criterios Métodos o procedimientos Detalle de la auditorias Auditoria Objetivo(s) Fecha(s) programas Aspecto(s) a Auditar Auditor(es) designados Recursos técnicos Recursos Financieros Recursos Humanos Otros Recursos Criterios Métodos o procedimientos Página 7 .  Deben presentar sus conclusiones al tutor del curso.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 4 REVISIÓN DE LA -POLÍTICA OBJETIVO Aclarar las dudas de los requisitos relacionados con la política de seguridad de la información según ISO 27001:2005. SOLO LOS HECHOS! Página 8 .  ¿Que pregunta incluiría en su lista de verificación para aclarar el cumplimiento. No Suponga y No Imagine absolutamente NADA.  Se destina tiempo para revisión. Recuerde ¡LOS HECHOS. METODOLOGIA  Revisar la política y determinar si hay cumplimiento con respecto a los requisitos de ISO 27001. TIEMPO  Tiene un tiempo máximo de cincuenta (50) minutos para el desarrollo del Taller. cuando esté en la auditoria en sitio?  Realizar este taller en grupo de trabajo designado por el tutor. Nota: No Asuma. Gestionar y reducir los riesgos a un nivel aceptable. Establecer los requisitos de seguridad mediante un conjunto de principios y reglas declarando como se especificará y gestionará la protección de los diferentes activos de la información de una manera consistente y efectiva. para alcanzar los objetivos establecidos en las políticas. Comunicar la política de seguridad de información solo a los empleados. que garanticen la disponibilidad y confidencialidad. Disponer de un sistema de gestión de seguridad formalizado y documentado. Cumplir con las Leyes y reglamentaciones vigentes. Aplicar los objetivos de control y controles necesarios. Doc: SGSI-POL-00 V00 POLÍTICAS ESPECÍFICAS GESTIÓN DE RIESGO POLÍTICAS ESPECÍFICAS RECURSOS Y DEL USUARIO POLÍTICAS ESPECÍFICAS TÉCNICAS APROBACIÓN POLÍTICA SEGURIDAD Ver Procedimiento de revisión de la dirección. Las medidas implantadas se acreditarán mediante auditorias solo informáticas. Compromiso de adoptar cuantas medidas de índole técnica y organizativa estén a su alcance. en función de las posibilidades y avances tecnológicos. REQUISITOS LEGALES Y/O REGLAMENTARIOS DEFINICIONES Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo. sección aprobaciones.Curso de Auditores Internos de Norma ISO 27001:2005 Organización Xuam Services Inc. RESPONSABLES PROCEDIMIENTO POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Está orientada a gestionar eficazmente la seguridad tratada por los sistemas informáticos de la empresa así como los activos que interactúan con los sistemas informáticos. INTRODUCCIÓN OBJETO ALCANCE Aplica para los empleados relacionados directamente con la seguridad. CONTROL DE CAMBIOS Página 9 . Curso de Auditores Internos de Norma ISO 27001:2005 HOJA DE TRABAJO INTEGRANTES: Resultados del análisis Página 10 . TIEMPO  Tiene un tiempo máximo de 50 minutos para el desarrollo del Taller.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 5 REVISIÓN DOCUMENTACIÓN SGSI OBJETIVO  Reforzar el aprendizaje con respecto a los documentos requeridos por la norma ISO 27001:2005. Recuerde que las cuatro (4) metodologías documentadas exigidas por ISO 27001 no son procesos. Página 11 .  Se destina tiempo para revisión. si se integran pueden ser un proceso. Control de Documentos + Auditorias Internas + Acción Correctiva + Acción Preventiva = Ejemplo: Proceso de Gestión del SGSI o Proceso de Mejora Continua.  Verificar los documentos requeridos por ISO 27001  Realizar este Taller en grupo de trabajo y redactar sus comentarios en la hoja de trabajo. METODOLOGIA  Analizar el Manual del SGSI suministrado en el taller. EL EQUIPO DE TRABAJO DEBE ENTREGAR LOS HALLAZGOS DE CUMPLIMIENTO O INCUMPLIMIENTO. (Incluir cláusula) * * * * * * * * * * * * * * * * Página 12 .Curso de Auditores Internos de Norma ISO 27001:2005 HOJA DE TRABAJO INTEGRANTES: ANALISIS DEL MANUAL de SGSI SI CUMPLE O NO CUMPLE. implementado y mantenido un SGSI que cumple con los requisitos de la ISO 27001. La organización adopta el enfoque basado en procesos.0 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 6. procedimientos.2 Requisitos de documentación El SGSI descrito en este manual intenta proporcionar directrices que deben seguirse para alcanzar de forma efectiva nuestra política de seguridad de la información y los objetivos asociados. 2.1 y A. 6. metodología de valoración de riesgos. Gestión contratación y legal Gestión servicios de tecnología Gestión recursos Gestión incidentes Gestión legal Se ha definido la descripción e interacción de procesos. teniendo en cuenta los requerimientos del negocio.0 FORMATO Y REVISIÓN El formato de este manual está diseñado por secciones. 6.12.0 ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN La compañía Xuam Services Inc. Excluye A. El SGSI esta apoyado en la definición de los documentos requeridos como el alcance. las cuales brindan conformidad con los requisitos de la norma ISO/IEC 27001:2005. política. definidos como: a) Estratégicos: Planeación y dirección estratégica Gestión seguridad de la información Gestión de riesgos Gestión control interno .1 Requisitos Generales: La compañía ha documentado. 1. 4.6. plan de tratamiento de riesgos y registros exigidos por la norma.0 ORGANIGRAMA Ver SGSI-ORG-00 V1. 5.0 INTRODUCCIÓN A LA COMPAÑÍA Y ANTECEDENTES … 3. en: Planeación y dirección estratégica SGSI-DIR-00 V1.0 PROPÓSITO Y ALCANCE DEL MANUAL Este manual aplica a las actividades detalladas en el alcance del sistema de gestión de la seguridad de la información en la ciudad de Bogotá. objetivos. Página 13 . comercio electrónico y gestión de hosting en la ciudad de Miami y Atlanta. informe de tratamiento de riesgos.12.auditorias b) Operación: Comercialización Consultoría soluciones de gestión conocimiento Servicio Comercio electrónico Servicio Hosting Gestión continuidad del negocio c) Apoyo.. se define para sus actividades que incluye: Proveedor de servicios de tecnologías de la información y consultoría en soluciones de gestión de conocimiento.Curso de Auditores Internos de Norma ISO 27001:2005 MANUAL DEL SGSI Este manual contiene los detalles organizacionales del Sistema de Gestión de la seguridad de la información hacia el cumplimento de la organización de los requisitos de la norma ISO/IEC 27001:2005. legales y reguladores. Página 14 .4. 7. 5.1 Compromiso de la dirección: Comunicando a todo el personal la necesidad de cumplir con los requisitos de los clientes. Se deja registro en las actas de revisión al SGSI.2 Acción preventiva. La organización tiene definido el manual de funciones.0 RESPONSABILIDAD DE LA DIRECCIÓN 5.1 Provisión de recursos para asegurar que los procedimientos de seguridad de la información dan apoyo a los requisitos del negocio. Según lo definido en el procedimiento documentado de control de registros. Gestión de la Continuidad del Negocio SGSI-DIR-00 V3. 6. 5. cubre la metodología utilizada en el registro. se ha establecido un instructivo documentado para las no conformidades potenciales y las medidas preventivas se disponen para eliminar o minimizar que ocurran (Cláusula 8. 5. Esta estructura identifica las funciones y sus interrelaciones en la compañía. Los documentos de origen externo relacionados con el SGSI serán controlados y los documentos obsoletos deben ser identificados. Documentación complementaria como: Declaración de aplicabilidad SGSI-RIE-05 V5.2 Política de seguridad de la información (Ver SGSI-POL-00 V00).4 Control de registros.4. conocimiento y competencia. el equipo de dirección debe asegurar que las responsabilidades y autoridades estén definidas y sean comunicadas a la organización para asegurar la efectiva implementación y el mantenimiento de nuestro SGSI. Se tiene en cuenta todos los requisitos estipulados en las entradas y salidas de la revisión y se deja registrado en las actas de revisión al SGSI.0 REVISIÓN DE GESTIÓN DEL SGSI 6.1 Generalidades. se ha definido un procedimiento documentado. 6. Animar para implantar una cultura de mejora continua en todos los aspectos del negocio de la compañía y monitorear y medir continuamente los niveles aceptables de riesgo en la organización. recolección. este requisito se cumple al contratar personal competente.0 MEJORA DEL SGSI 7. 5.2 Auditorias internas.2 Formación. Los resultados de las auditorias son registrados. Llevar a cabo reuniones de revisión de la gestión para asegurar la conveniencia y la efectividad de nuestro SGSI. el equipo de dirección debe revisar el SGSI. legales y reglamentarios.Curso de Auditores Internos de Norma ISO 27001:2005 Gestión de Riesgos SGSI-RIE-00 V3. análisis. 6.4 Gestión de recursos 5. Todo el personal está formado en los requisitos del sistema.3 ISO 27001). El manual del SGSI específica los requisitos del trabajo y los recursos y personal responsable por las actividades definidas. 6. particularmente en lo referente a la monitorización del nivel del servicio proporcionado.1 Mejora continua. 5. La organización ha definido el organigrama. Se tienen auditores internos calificados. resumen y comunicación de todos los datos pertinentes para monitorear y mejorar la efectividad del funcionamiento y del SGSI. a intervalos de seis (6) meses para asegurar la conveniencia y efectividad del SGSI.3 Control de documentos. Todos los documentos de este manual se controlan de acuerdo con la norma de creación de documentos e procedimiento de control de documentos. sus responsabilidades con la ley y la necesidad de mejora contínua. En la importancia de cumplir con los objetivos de seguridad de la información y ajustarse a la política de seguridad de la información. 7.3 Responsabilidad y autoridad. Riesgos operar el SGSI. Gerencial a intervalos planificados. Comunicados Partes Presupuesto y SGSI.Curso de Auditores Internos de Norma ISO 27001:2005 Anexos: SGSI-DIR-00 V1.objetivos. medición de la eficacia de los revisión Revisión controles. responsabilida RH internos Comunicación del SGSI. PROCESO ENTRADA ACTIVIDADES SALIDA PROCESO Acciones Requisitos y P Establecer y aprobar políticas Todos los correctivas y expectativas SGSI. autorizar para implementar y G. Planeación y dirección estratégica Codigo: CARACTERIZACION PROCESO PLANEACIÓN Y DIRECCIÓN Versión:1 ESTRATÉGICA Pag OBJETIVO DEL PROCESO RESPONSABLE Este proceso tiene por objeto brindar evidencia de compromiso de la alta dirección Gerente con el SGSI. revisar la valoración de riesgos Todos los gerencial. personal TI H Decidir los riesgos residuales Registros de G. Riesgos Actas G. interesadas Procesos P Asignar recursos para implementar plan plan de Financiero y internos tratamiento de riesgos. gestionar recursos al SGSI y revisar el SGSI a intervalos planificados. Riesgos propuestos y operar el SGSI riesgos V Realizar seguimiento y revisión regular Acta de del SGSI. verificando la procesos decisiones realización auditorias internas. des. procesos preventivas P Aprobar metodología de valoración de riesgos. Implementar acciones correctivas y Planes de Partes Revisiones preventivas. decidir criterios aceptación riesgo y niveles de riesgo aceptable. Manual P Establecer funciones y funciones. comunicar y asegurar que las mejora interesadas mejoras logren los objetivos del SGSI Página 15 . Procesos responsabilidades del SGSI. actualizar tomadas los planes de seguridad de la información. A Implementar mejoras identificadas. procesos. Clausula Detalle Aplicación Aplicabilidad 4. Tratamiento del riesgo con aceptación del riesgo (criterio de aceptación del riesgo y deben identificarse los niveles de aceptación del riesgo) y transferir a otras partes los riesgos. cuando hay cambio en el SGSI. 4. maquinaria y equipo.2. Si la categoría es MEDIA. vulnerabilidades.3 Seguimiento y revisión del SGSI Si Definido en la definición de los procesos Actividades “V” 4. Valoración de la probabilidad teniendo en cuenta amenazas. información. propietarios. económicos. Revisión del análisis de riesgos para mantener permanentemente actualizado cada dos (2) meses o teniendo en cuenta cambios en la organización. documentos requeridos. al contratar proveedores que afecten el SGSI. efectividad de los controles implantados. operando SGSI desde 1/09/2010. Monitoreo. la tecnología. Definido en la interacción de los procesos como G. El análisis de riesgos debe garantizar resultados comparables y reproducibles. se deberán identificar los mismos puntos de la categoría básica (activos. 4. eventos externos. impacto y controles de seguridad ya implantados. Además. equipos de comunicación interna. Auditorias AP-PR-GC- 04. Declaración de aplicabilidad SGSI-RIE-05 V5. Se deberán identificar: Activos. semestral Gerente MEDICION DEL PROCESO INDICADOR INDICE DE GESTIÓN PERIODICIDAD RESPONSABLE META Mensual 80% Gestión de Riesgos SGSI-RIE-00 V3.2. salvaguardas) y además deberán valorarse. resultados registrados en el plan de tratamiento de riesgo y actualización de la declaración de aplicabilidad. catálogo básico de amenazas. el análisis de riesgos deberá ser más formal. salvaguardas.2. Riesgos. El análisis de riesgos debe incluir los siguientes puntos: Valoración del impacto de la materialización de la amenaza sobre la confidencialidad.Control de Registros DO- PR-GC-02. Acciones correctivas y RECURSO DEL PROCESO HUMANOS Personal relacionado con el alcance del SGSI INFRAESTRUCTURA Instalaciones fisicas y lógicas.Curso de Auditores Internos de Norma ISO 27001:2005 DOCUMENTOS Y/O REGISTROS DOCUMENTOS EXTERNOS NUMERALES APLICABLES Control de Documentos DO-PR. legales o regulatorios. los objetivos y procesos de negocio. Se realiza gestión de riesgos a los procesos del SGSI. el análisis de riesgos deberá ser totalmente formal y deberá identificarse las vulnerabilidades. sociales. Categoría BASICA no se tiene en cuenta y se focaliza en resultados medios y altos.4 Mantener y mejorar el SGSI Si Definido en la definición de los procesos Actividades “A” 4. Valoración de los riesgos con clasificación de los riesgos en aceptables y no aceptables según el criterio de aceptación del riesgo y los niveles de riesgo aceptable.Legislación aplicable 4. software CONTROLES APLICABLES AL PROCESO QUE SE CONTROLA RESPONSABLE DEL CONTROL METODOLOGIA DE CONTROL FRECUENCIA CONTROL Indicadores Responsable Informes de Indicador. contractuales.2 Implementar y operar el SGSI Si Definido en la definición de los procesos “Actividades H” 4. responsables que protegen de dichas amenazas. amenazas más probables.1. las amenazas.1 y 7 GC-01.2. Para la categoría ALTA. integridad y disponibilidad de cada activo.1 Establecer SGSI Sí Manual SGSI. amenazas. Reunión comite seguridad Mensual - del proceso .2. etc.3 Requerimientos de Si Documentación definida e incluida en Página 16 . Reunión de Revisión SGSI. 5 Responsabilidad de la dirección SI 6 Auditorias internas Si Procedimiento auditorias internas 7 Revisión de la dirección Si Revisión anual del SGSI 8 Mejora del SGSI Si Procedimiento acciones correctivas y preventivas A.10 Comunicaciones y Operaciones Sí Procedimiento de operaciones G.1.9.6 Organización de la seguridad de Si la información A. también se han designado responsables a los procesos.1.1.1 Inventario de activos Si Se ha implementado y se mantiene un sistema de información.13 Gestión de incidentes de Sí Procedimiento gestión incidentes.9. Herramienta cuantificación y monitores incidentes – eventos.1.9.1 Seguridad física Sí Documentos de definición perímetro A. seguridad en la información definición responsabilidades. Diseño A. A. procedimiento de control de A.1 Directrices de clasificación Si Procedimiento de clasificación de activos – etiquetado y manejo de información A. Herramienta OpManager.5 seguridad.5 Política del SGSI Si A. A. sean tangibles o intangibles. se ha designado un “propietario o responsable”. Backup.7.9. Cambios.Curso de Auditores Internos de Norma ISO 27001:2005 documentación la definición de los procesos y control de procedimientos de Control documentos y registros. este control se realiza desde su adquisición o relación con la organización.72. Capacidad. Procedimiento control de acceso A. herramientas y políticas de A.7.7 Gestión de activos Si A.2. A. A. OpStaar.2 Seguridad de RH Sí Antes de la contratación laboral con roles y responsabilidades. OppUtils. Procedimiento recolección evidencias Página 17 .7.2 Etiquetado y manejo de Si Procedimiento de clasificación de información activos – etiquetado y manejo de información 8.2 físico.1. G. el cual relaciona todos los activos de la organización. procesamiento de información y áreas sensibles de la organización.3 acceso.3 Uso aceptable de los activos Si Política de gestión de activos A.1. Selección de personal y término y condiciones laborales. Monitoreo. G.1.1. A.7.4 control de acceso físico.9.2 Propiedad de activos Si En el sistema de información de control de activos.11 Control de acceso Si Active Directory. acción 7.14 Gestión Continuidad del negocio Sí A. acción 5. Determinar acción correctiva y registrar. Registro indicadores 10. Auditores internos e correctiva NO 8. Eficaz Cierre F. acción 4. auditoria proveedores. Jefe de área.) Herramienta 2.03 OBJETO Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia. Registrar problemas.15 Conformidad Sí Procedimiento cumplimiento políticas y normas de seguridad. Jefe de área. dirección correctiva 5. acción correctiva dirección correctiva 9. acción dirección correctiva SI 7. 1. etc. F. Jefe de área. F. Representante de la F. las acciones correctivas deben ser apropiadas a las causas y problemas encontrados. monitoreo. acción 10. Alta Dirección Revisión revisión dirección dirección Página 18 . Curso de Auditores Internos de Norma ISO 27001:2005 A. Jefe de área. Representante SGSI .AC . Representante de la F. Procedimiento Acción correctiva: (Parte del procedimiento) Edición: 0 Xuam Services Inc. Dueño del proceso correctiva 6.dirección Indicadores Reporte 11. Generar nueva solicitud de acción 9. Jefe de área o proceso acción correctiva 4. revisión de la dirección. Representante de la F. Detectar problemas o no conformidades: (Auditorías internas. Fecha: Código: PROCEDIMIENTO DE ACCIÓN CORRECTIVA P . Procedimiento auditoria TI. Cerrar acción correctiva. Implementar acción. Seguimiento a la acción. incidentes. g. dirección acción correctiva Formato de 3. g. Representante de la Formato de 2. 6. Cualquier colaborador Herramienta auditorias externas. ALCANCE Aplica para todos los procesos del SGSI ACTIVIDADES RESPONSABLES REGISTROS 1. Ingresar información al reporte y 11. cambios. Analizar las causas 3. Auditores internos correctiva 10. Curso de Auditores Internos de Norma ISO 27001:2005 Gestión Configuración . Net part. Brand Model Disk/Device Sub-Systems Device Device Device Netware Drive Drive Number Type Controller Size (Mb) Partition Brand Model Comments 0 1 2 3 Página 19 .Formato Servidor FILE SERVER CONFIGURATION Location File Server Name Date NetWare Version Name User license File Server Brand File Server Model Base Memory Extended Memory Total Memory Boot Method UPS Capacity Power Monitoring Network Boards Name Driver I/O Port Address IRQ DMA Node Slot Net No Floppy Disk Drives Letter Size Capacity CD-ROM Drive Letter Speed Type Brand Model Internal Hard Drives Letter Size (Mb) Controller DOS part. 5. 2. gestión de seguridad física son responsables de la gestión de activos y propietarios de los activos. Fecha: PROCEDIMIENTO CLASIFICACIÓN Y CONTROL Código: DE ACTIVOS – ETIQUETADO P .01 1. OBJETIVO Determinar las actividades requeridas para la gestión e inventario de activos del SGSI. • Responsable de la Gestión del Sistema de Seguridad de la información Soportar la gestión de etiquetado y manejo de información • Gestor de activos Coordinar actividades para la identificación de los activos del SGSI. ALCANCE Este procedimiento aplica para todos los activos del SGSI de la organización.AT . EXPLICACIÓN: Se aplica este procedimiento:  Cuando se ingresa un activo de información al SGSI  Cuando hay una salida de un activo de información del SGSI  Cuando hay uso de etiquetas (físicas o electrónicas) en el SGSI. 3. Tipos de activos de seguridad de la información: a) Información b) Software c) Físicos d) Servicios e) Personas y sus calificaciones.etiquetado Edición: 0 Xuam Services Inc. • Procesos a cargo Todos los responsables de los procesos. gestión de compras. Comité de Seguridad de la información Ejecutar actividades para el cumplimiento de este procedimiento. DEFINICIONES: • 4. habilidades y experiencia f) Intangibles Página 20 . PUNTOS IMPORTANTES: NORMAS RELACIONADAS / REFERENCIAS N/A DESCRIPCIÓN DE ROLES Y RESPONSABILIDADES • Comité de Seguridad de la información Definir los métodos de etiquetado y manejo de información. Definir los procesos y actividades que requieren de etiquetado y manejo de información.Curso de Auditores Internos de Norma ISO 27001:2005 Procedimiento clasificación y control de activos . Garantizar el etiquetado de los activos y manejo de la información de acuerdo con la definición de clasificación de activos de la organización. 2 Etiquetado de correos electrónicos.4 Etiquetado de presentaciones En el caso de que alguna presentación.3 Etiquetado de paquetes Los paquetes para almacenar y transferir información clave. deben ser identificados “etiqueta” que indica CONFIDENCIAL. … “ 5.1 Etiquetado de documentos Según procedimiento de control de documentos.  La información confidencial. Uso llaves criptográficas. Clasificación información: Uso interno Confidencial Secreta Altamente secreto MANEJO DE LA INFORMACIÓN Información pública: Información privada: Información confidencial Se debe tener en cuenta los siguientes cuidados y controles de seguridad para mantener de forma confidencial:  No podrá ser divulgada o transferida a personas o funcionarios no autorizados. APROBACIÓN Y GESTIÓN DE CAMBIOS Elaborado por: Revisado por: Versión Fecha Nombre Cambio Aprobación aprobador Página 21 . cuando deje de ser necesaria. 5. debe ser almacenada en sistemas seguros.  Evite ubicar información en lugares de fácil acceso por personas no autorizadas.5 Etiquetado de Telecomunicaciones Si hay transferencia de datos con organizaciones externas se debe: Según procedimiento y directrices de transmisión de datos. 5. REQUERIMIENTO DE ACCESO 6. sin importar su medio (físico o digital). deben contener la siguiente leyenda: “Este mensaje puede contener información confidencial o de uso interno de la organización. 5. contenga información de tipo CONFIDENCIAL o de USO INTERNO. debe incluir muy claro lo siguiente: “USO CONFIDENCIAL DE LA ORGANIZACIÓN”. 5. Los correos electrónicos que están clasificados como USO INTERNO y CONFIDENCIAL.  La información confidencial. Habilitado uso de trafic filter y firewall. almacenada en portátiles debe estar de forma cifrada.Curso de Auditores Internos de Norma ISO 27001:2005 Toda información considerada como CONFIDENCIAL y de USO INTERNO debe estar etiquetada.  Destruya de forma segura toda la información confidencial.  Trabajo en grupo. operar los servidores. DESARROLLO Parte A. La alta Dirección decide incluir en el programa de auditoria interna el proceso de producción ubicado en 3 sucursales Bogotá. Página 22 . Se detalla los 3 Subprocesos operativos: Para cada subproceso se encuentran seleccionados e implementados todos los controles que le aplican. generar e imprimir los informes y enviar información a clientes internos y externos. Procesamiento de datos: revisar los logs del centro de cómputo. (No hay exclusiones). METODOLOGIA  Determinar las cláusulas a incluir en el programa de auditoria y generar el plan de auditoria de acuerdo al caso. Cali y Medellín. Plan de auditoria: Generar el plan de auditoria.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 6 ISO 27001 –PLAN DE AUDITORIA OBJETIVO  Clarificar los conceptos referentes a programa y plan de auditoria. Proceso contratación de servicios Parte B. En Medellín se realiza remotamente la gestión de revisión de logs del centro de cómputo y es gestionado desde Bogota. puede considerar auditar otras áreas/funciones o procesos necesarios para evidenciar conformidad. determine que cláusulas se deben considerar para evidenciar conformidad con respecto a la norma ISO 27001:2005. Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en lo visto en clase y en la Norma ISO 27001. Programa de auditoria: Se ha determinado en el programa el proceso denominado “contratación SGSI”. TIEMPO  Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller. El equipo de trabajo debe sustentar al Tutor los resultados del taller. Bogotá. Organización Join Ingenieria S. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. Cali y Medellín.A.  Se destina tiempo para revisión. . dvd´s y discos extraíbles). MODEM. cd´s. VPN. Medios de almacenamiento: Administrar todos los medios de almacenamiento de la organización y de los clientes (tales como cintas. Página 23 . switches. Bogotá.Curso de Auditores Internos de Norma ISO 27001:2005 . Comunicaciones: Instalar y mantener todos los equipos de comunicaciones tales como routers. Cali y Medellín. correo e Internet. . firewall y monitoreo del servicio de canales. Bogotá y Medellín. Curso de Auditores Internos de Norma ISO 27001:2005 PLAN DE AUDITORIA Página 24 .  Se divide el curso en grupos y se asigna cláusulas a cada grupo.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 7 ISO 27001 – LISTA DE VERIFICACIÓN OBJETIVO  Practicar la generación de preguntas de acuerdo con las cláusulas de la Norma ISO/IEC 27001:2005.  Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. METODOLOGIA  Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en Norma ISO 27001. TIEMPO  Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller. El equipo de trabajo debe sustentar los resultados del taller.10. Realizar una lista de verificación del SGSI para evidenciar conformidad de las cláusulas 5 y 6 y Anexo A. CLAUSULA PREGUNTA Observaciones Cumple(s/n Página 25 . DESARROLLO LISTA DE VERIFICACIÓN Organización: Auditores: Proceso: No.  Se destina tiempo para revisión. CLAUSULA PREGUNTA Observaciones Cumple(s/n Comentarios: Nombre y Firma Auditor: Nombre y Firma Auditado: Página 26 .Curso de Auditores Internos de Norma ISO 27001:2005 No. confirmación de los recursos requeridos para la realización de la auditoria. la organización es Do brasil Electronic S. METODOLOGIA  Preparar el contenido de una reunión de apertura de la organización (taller 11). alcance de auditoria. permitir preguntas de los auditados.  Para realizar este Taller se integran grupos de trabajo. se dedica al diseño. confirmar estándar. Página 27 .Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 8 ISO 27001 – REUNIÓN DE APERTURA OBJETIVO  Mejorar el entendimiento de los temas vistos hasta el momento. se confirma los canales de comunicación. La organización está ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Río de Janeiro en donde ensambla alarmas de seguridad para edificios. alcance SGSI. La auditoria se realizara en Sao Paulo. horas de almuerzo y cierre de auditoria.A. criterios. TIEMPO  Tiempo de preparación 35 minutos y tiempo para su presentación por grupos.. ensamble y venta de componentes electrónicos de seguridad. confirmar los acuerdos de confidencialidad y confirmar algún lineamiento adicional que los auditores deben de conocer con respecto a la seguridad. confirmar el plan de auditoria que incluye las reuniones de retroalimentación. DESARROLLO Aspectos adicionales a tener en cuenta al momento de realizar la reunión de apertura presentación de auditores. métodos de la auditoria (aclaración que la auditoria sólo se basará en una muestra seleccionada por el grupo de auditores. DESARROLLO Página 28 .  Se destina tiempo para revisión. en la cual se debe preparar las preguntas y realizar directamente al auditado:  Situación a) Dirección  Situación b) Recurso Humano  Situación c) Mejora del SGSI  Situación d) Centro de cómputo  Situación e) Legal  Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. TIEMPO  Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 9 ISO 27001 – COMO PREGUNTAR OBJETIVO Realizar y practicar preguntas a realizar en una auditoria en sitio. METODOLOGIA  Se tienen diferentes situaciones de una organización real.  Retroalimentación guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria. Realizar este taller en grupo determinado por el tutor y debe sustentar sus conclusiones en las hojas respectivas.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 10 REDACCION DE HALLAZGOS DE INCUMPLIMIENTO OBJETIVO  Generar habilidad en el auditor para detectar no conformidades. TIEMPO  Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller. clasificación y sustentación. SOLO LOS HECHOS AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Página 29 . el participante en el curso de técnicas de auditoria interna debe determinar si hay hallazgo de incumplimiento. DESARROLLO Nota: No Asuma. clasificar de acuerdo a la cláusula Norma ISO 27001 y realizar la redacción respectiva.  Se destina tiempo para revisión. No Suponga y No Imagine absolutamente NADA. mejora su redacción. Recuerde ¡LOS HECHOS. METODOLOGIA  En cada una de las siguientes situaciones. matriz de riesgos. observa a los empleados de producción en la sala de control de documentos buscando en el archivo de documentos obsoletos unos planos de los diseños del control electrónico del proyecto “Gate Close II”. Usted forma parte de un equipo de auditoria que revisa el Proceso de Gestión del SGSI (Control de documentos y registros) en este proceso se tiene establecido que los originales de la documentación del sistema operativo. procedimientos operativos y contratos de mantenimiento de los equipos de la empresa deben estar en la sala de control de documentos. usted observa la puerta abierta. construye Sistemas de Control Electrónico según las especificaciones de los diseños de los clientes. También se audita al proceso de Gestión del Talento Humano.Curso de Auditores Internos de Norma ISO 27001:2005 Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor CASOS La organización “YING SEG INC. Cuando se acerca a la sala de control de documentos. usted solicita los registros de ingreso y evidencia que los empleados no están en la planilla de Página 30 . Roberta muestra el archivo maestro de informes de cambios de ingeniería. selecciona seis (6) y observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuyó los cambios y no hay acuse de recibo de quienes resultaron afectados. donde encuentran al Director. ella confiesa que presto su copia a otra área de la organización. usted busca en el listado maestro de documentos y no hay existencia de la definición indicada por Aníbal. este documento debe ser revisión 2. usted pregunta a Roberta sobre el caso y ella indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos establecidos. Página 31 . Luego solicita cómo se controlan y distribuyen los cambios de ingeniería. junto a la puerta. por último revisa la devolución de activos y comunicación de la eliminación de derechos del personal que salió de la organización en los últimos ocho (8) meses y encuentra los registros pertinentes. usted selecciona cinco (5) documentos para revisar. Roberta se disculpa por el hecho de que el área parece desordenada. En el archivo evidencia cumplimiento de selección de personal. pero hay una copia del procedimiento enmarcada y fijada en la pared. usted observa las fotocopias no controladas. ella responde que sólo se usan como referencia y nunca salen de la sala. para que todos la lean. Usted pregunta como auditor líder ¿Cómo se controla la documentación del sistema operativo? Roberta lo lleva al archivero que contiene dicha documentación. usted registra en su lista de verificación. términos y condiciones de la relación laboral. Aníbal Ramírez usted se presenta y solicita donde están establecidas las competencias del personal. Usted solicita a Roberta ver el procedimiento de control de documentos establecido por la organización. entrega un archivo. también verifica el proceso disciplinario de algunos empleados y contratista. solicita la aprobación de la nueva versión y no está disponible. es conforme con los requisitos. al hablar con Aníbal sobre los contratos de trabajo de cuatro (4) cargos distintos. conformidad con educación y formación en la seguridad en la información. Roberta explica que falta personal y ha tenido que depender de la secretaria de ingeniería para pasar las copias a los trabajadores de producción y que la secretaria no le devuelve las hojas de acuses de recibo. Aníbal explica que en estos se encuentran los controles adecuados. Usted observa un estante con catálogos de varios distribuidores de electrónica. Usted pregunta a Roberta ¿como se controla el listado maestro de documentos?. solicita el listado de documentos maestros y observa los niveles de revisión de los documentos elegidos del archivo contra la lista maestra. usted verifica la información y esta de acuerdo. Al indagar ¿Cómo se controla la entrada a la computadora? Roberta responde que la puerta de la sala siempre está cerrada con llave. Roberta dice que cree que la versión del documento nuevo está entre los documentos pendientes. ella dice que este es un registro codificado F-LD-GSGSI-001 Revisión 2 e invoca una hoja electrónica en su computadora y muestra cómo asienta los nuevos documentos que se reciben.Curso de Auditores Internos de Norma ISO 27001:2005 ingreso. Agradece a Roberta y Aníbal y regresa a la sala de reuniones privada para redactar el informe de auditoria. Al solicitar cinco (5) hojas de vida al azar. cuando ella no está. explica que estuvo de vacaciones por Navidad y Año Nuevo. dice que los Ingenieros usan el catálogo de partes computarizado cuando necesitan publicar las especificaciones de las partes y como son tantos y muy poco se utilizan no se han incluido en el SGSI. Aníbal explica que a través de una interacción estrecha entre gerentes y empleados han evitado una descripción específica de perfiles de cargos. además revisa los derechos asignados y ninguno tiene registro de asignación de ingreso a la sala de control de documentos. Roberta lo lleva al proceso de gestión de talento humano. las funciones y responsabilidades en seguridad en la información. usted pregunta a Roberta si están controlados. todos salvo el Manual uno tiene la revisión correcta. Director del área ¿Ha definido controles para el control de acceso físico y lógico?. Sustentar sus redacciones. Al pasar por el cuarto de servidores ven que la puerta tiene una cantonera que restringe el acceso y al preguntar a Carlos Álvarez.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 11 REDACCION DE OBSERVACIONES OBJETIVO  Mejorar las habilidades para utilizar adecuadamente las observaciones u oportunidades de mejora y su redacción respectiva. Al preguntar al gerente de servicios de tecnología si existe un procedimiento de continuidad del negocio en caso de desastres o causas mayores. determinar si hay observaciones u oportunidades de mejora. él dice que si y enseña reglamentación sobre registros tanto de acceso físico como lógico. Se tiene un servidor idéntico al de producción donde se carga diariamente la información actualizada y se encuentra ubicado en otro sitio diferente al centro de cómputo. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. METODOLOGIA  En cada una de las situaciones de este taller. con todas las acometidas independientes. a lo cual el gerente comenta que mensualmente se están enviando los registros al departamento de archivo para su almacenamiento dado que la organización estableció un tiempo de retención de 1 año.  DESARROLLO Con los casos del taller anterior. el comenta que se ha establecido un procedimiento y se ha validado el plan de continuidad del negocio. al revisar los registros y observa que solo están hasta el mes pasado. TIEMPO  Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller.  Trabajo en grupo. guarda las tarjetas en una caja fuerte y las claves en otra. el participante debe determinar si hay una oportunidad de mejora u observación con respecto a la Norma ISO 27001 y realizar la redacción respectiva.  Se destina tiempo para revisión. El software que controla la expedición de tarjetas esta temporalmente suspendido debido a que le están incluyendo otras rutinas de validación y control. Página 32 . Casos: Pasan al proceso de gestión de tarjetas donde observan que el encargado Rafael Núñez. Curso de Auditores Internos de Norma ISO 27001:2005 igualmente se encuentra protegido por ups y planta eléctrica. Así mismo existen funciones y responsabilidades definidas en caso de ser necesario utilizarlo. Se realizó la valoración de los riesgos para los activos críticos y se tiene un plan de pruebas y actualización de cambios. Estándar Observaciones u Oportunidades de Mejora /Elemento ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ PROCESO: ISO 27001 ELEMENTO ________ Página 33 . Se solicitaron estos documentos y se encontró conformidad en los mismos. En la revisión del sistema de backup encuentra que algunas cintas son almacenadas en la oficina de sistemas sobre un mueble. observaciones. Determinación de observaciones u oportunidades de mejora 4.  Se destina tiempo para revisión.  Determinar la cláusula de ISO 27001. Si se declara que el hallazgo es una No Conformidad debe ser redactada en el formato “Solicitud de Acción Correctiva (SAC)”. relacionada con el hallazgo de la posible no conformidad u observación. Clasificación de los hallazgos con respecto a una cláusula de la norma. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. redacción y sustentación. Reunión del equipo auditor (Análisis de Hallazgos). 3. El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una observación (oportunidad de mejora) con respecto a la Norma ISO 27001.  Taller en grupo y sustentación de resultados en la reunión de cierre formal.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 12 ISO 27001 – ANALISIS DE LOS PROCESOS OBJETIVO Fortalecer el conocimiento de la determinación de no conformidad. Si se declara que el hallazgo es una Observación debe ser redactada en el formato “Observaciones/Oportunidades de Mejora”. su clasificación. METODOLOGIA La auditoria simulada debe seguir los siguientes pasos: 1. Solicitud de acciones correctivas. 2. TIEMPO  Tiene un tiempo máximo de 50 minutos para el desarrollo del Taller. DESARROLLO AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Página 34 . Curso de Auditores Internos de Norma ISO 27001:2005 Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento: Hallazgos: Auditor Estándar Observaciones u Oportunidades de Mejora /Elemento ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ Página 35 . identificación de piezas. INV-AF-UPS-15 y INV-AF-SCAN-56. pregunta que se almacena en ese lugar. Usted registra la cinta con la etiqueta XXX-001.Curso de Auditores Internos de Norma ISO 27001:2005 Do Brasil Electronic S. INV-AF-PC- 132 y INV-AF-PC-145. los planes de las auditorias programadas. Roberta informa que lógicamente las cintas de backup y algunos equipos de computo para dar de baja. las listas de verificación. En el proceso de gestión de seguridad de la información. ¿Cuantas entradas hay en el almacén? Roberta muy atenta responde solo dos. INV-AF-PC-132. en el están los componentes electrónicos para ensamble. Usted solicita verificar la información de los discos de los equipos INV-AF-PC-234. los productos terminados y lo más importante para la organización los diseños exclusivos y propios de los productos y en algunos casos únicos en Brasil. registro de ingreso de componentes. LA AUDITORIA Se realizó la reunión de apertura en la organización Do Brasil Electronic S. 123790 Jhonatan Ribño y 011156 Luis Ribereido. INV-AF- PC-145. La organización está ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Río de Janeiro en donde ensambla alarmas de seguridad para edificios. en la ciudad de Sao Paulo. ensamble y venta de componentes electrónicos de seguridad. Usted observa la puerta No. INV-AF-IMP-14. XXX-002 y XXX-003. Usted observa a 3 personas trabajando en una de las esquinas del almacén. Usted revisa los registros entregados y encuentra el programa anual de auditorias. Auditoría en sitio es realizada por dos auditores.. 123789 Alberto Rin. Usted solicita la identificación respectiva No. inventario y sistema de información. usted solicita al Ingeniero Rodiño Paez. 2 y detalla un Camión “Security JKF” que esta parqueado en el área de cargue de productos y descargue de componentes electrónicos.A. demarcación de zonas. evidencia que se realizó auditorias a todos los procesos y detalla los reportes de auditorias internas. ¿el procedimiento de auditorias internas? Rodino entrega los registros de auditorias internas. Usted pregunta al responsable de Almacén Roberta Díaz. También analiza en los equipos registrados para dar de baja a INV-AF-PC-132 y no se encuentra. Rodiño Paez. ¿Si tienen las autorizaciones correspondientes para estar en la zona? Roberta informa que por supuesto. ubicación de extintores. Se comprueba ubicación de los elementos almacenados. detalla otros aspectos y escribe en su lista de verificación los hallazgos. INV-AF-UPS-113. registros de salida de equipos terminados. es una zona reservada para IT. Usted continúa revisando la zona de almacén y observa en una esquina papel de desperdicio y basura desordenada. está de acuerdo con el procedimiento definido SGSI-PR-ALM-001 del proceso de Almacén. Robert Robles Página 36 . Adicionalmente solicita al Sr. Los siguientes computadores son equipos para dar de baja: INV-AF-PC-234. otra que solo se utiliza para ingreso de componentes y entrega de productos terminados. el auditor registra todo.A. Una entrada para el personal que labora en el almacén y contratistas. verifica que los auditores no auditaran su propio proceso. INV-AF-PC-133. Ellos son contratistas de Mantenimientos JKF que están desde hace cuatro (4) meses trabajando todos los días en la organización. Se dedica al diseño. En el Proceso IT. Para el caso el oficial de seguridad y responsable del SGSI es el Ing. Luego se dirige a un cuarto pequeño. El auditor esta acompañado por el responsable del SGSI. se verifica el equipo INV-AF-PC-234 en el inventario y no aparece como activo. la designación de responsables. INV-AF-PC-134. usted se presenta y pregunta a uno de los contratistas: ¿Cual trabajo están realizando? Estamos instalando un nuevo sensor de humedad y temperatura en esta zona. Auditoria Ciudad de Sao Paulo: Se visita el Proceso de almacenamiento. y como el comité de seguridad decidió capacitarla no se registro como acción correctiva. y esta no estaba registrada como acción correctiva. además de otros papeles sobre el escritorio. Nuevamente el Ingeniero Rodiño Paez. Usted comenta al Gerente financiero sobre los documentos importantes. pero no se encuentra la etiqueta XXX-001. Robert informa que este equipo se dio de baja y que no debe tener información. persona responsable de la aprobación y asignación de dar de baja los activos de la organización. Se solicita los registros de Backup. Identifica las credenciales No. las cuales corresponde claramente al permiso del día para el contratista Security JKF. todas cerradas a la fecha. usted busca en sus apuntes las anotaciones de las etiqueta encontradas en almacén XXX-001. muchas gracias al Ingeniero Rodiño Páez. Finalmente termina el proceso de auditoría. los 3 almacenistas. usted se acerca a la ventanilla y alcanza a visualizar varias chequeras. dos contratos No. dijo que la persona encargada de desbloquear las claves era nueva en el puesto y no se encontraba capacitada. Roberta Díaz. previamente se había observado en las actas del comité de seguridad una queja repetitiva de varios clientes acerca de que no tenían acceso a su cuenta porque la claves no habían sido desbloqueadas oportunamente. Al observar el área de tesorería encuentra que no hay ninguna persona laborando en esta oficina. todos tienen tarjetas de control de acceso personalizado. todos los equipos tienen las firmas respectivas por parte del Gerente Financiero. Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicitó permiso para salir temprano el día de hoy. allí encuentra 6 acciones correctivas y 1 acción preventiva.Curso de Auditores Internos de Norma ISO 27001:2005 prender el equipo con etiqueta INV-AF-PC-145. realiza la reunión de auditores internos para definir el respectivo informe. Página 37 . busca en la realización de backup y encuentra evidencia de los registros XXX-002 y XXX-003. 13456-RIO y 34346-SAO PAULO Confidenciales. pero se guarda para estos fines. 123789. Al preguntar al responsable acerca de este inconveniente. el gerente del proceso entrega un archivo con esta información. se verifica en los equipos registrados para dar de baja se encuentra registrado. él índica que ella es muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados. 123790. Robert prende el equipo etiquetado INV-AF-PC-145 y con sorpresa aparece el sistema operativo. En el listado de personal autorizado para ingresar en la sección de Almacén se encuentran Ingeniero Rodiño Paez. Usted verifica el Proceso de administración de servicios tecnológicos como es el ingreso de personal a la organización. le informan que el personal puede ingresar únicamente por la entrada principal. usted solicita las acciones correctivas y preventivas realizadas en el presente año. XXX-002 y XXX-003. En el Proceso Financiero usted valida las aprobaciones para dar de baja los equipos por parte del Gerente de IT. Le informan que esta cinta no se registró porque se utilizó de prueba al momento de instalar el servidor de backup. los lleva al proceso de gestión de seguridad de la información. Se destina un tiempo límite para realizar la auditoria. METODOLOGIA Tutor explica la situación a los alumnos que se encuentran en el salón.JUEGO DE ROLES OBJETIVO Fortalecer el conocimiento de la norma ISO 27001 en situaciones extremas.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 13 ISO 27001. (Utilización lista verificación). La auditoria simulada debe seguir los siguientes pasos: 1. Se debe realizar una auditoria en sitio. Las posibles opciones son:  Auditado es nuevo en el proceso y no tiene información suficiente para responder  Auditado tiene muchos años en el proceso y quiere explicar todas las actividades al auditado  Auditado contesta con respuestas mínimas y cerradas  Auditado no sigue los procedimientos y quiere que el auditor no registres esas fallas  Auditado está inconforme con la organización y opina que todo está mal  Auditado considera que la auditoria busca una excusa para despedirlo  Auditado es desordenado y no encuentra la información solicitada  Auditado entrega información que no es la solicitada  Auditado trata de engañar al auditor con charlas y explicaciones técnicas. Ejecución de la auditoria (Entrevista)  Trabajo en grupo y retroalimentación guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria. TIEMPO  Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller. Roles: El tutor explica a los estudiantes que se deben conformar grupos de 2 estudiantes. 2. En cada grupo un estudiante asumirá el rol de auditor Otro estudiante asumirá el rol de entrevistado y el tutor le asignará una forma de comportarse en la auditoria. Página 38 . Saludo al auditado. Página 39 .  Para realizar este Taller el participante en el curso de auditoria interna deberá soportarse en la norma ISO 27001. solicitud de acción correctiva y observaciones. presentar la justificación de los hallazgos y su clasificación.  Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso.  Presentación grupo de evidencias de conformidad. METODOLOGIA  Con el taller Análisis de procesos. TIEMPO  Tiene un tiempo máximo de (30) minutos para el desarrollo del Taller.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 14 ISO 27001 – REUNIÓN DE CIERRE OBJETIVO  Mejorar las habilidades del auditor para comunicar los resultados de auditoria y sustentar sus decisiones. El equipo de trabajo presentará los resultados del Taller al tutor.  Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. METODOLOGIA  Con el taller de análisis de procesos (registro de no conformidades). seleccionar una (1) no conformidad y determinar las cláusulas que usted revisaría para garantizar que el análisis de causa y actividades son eficaces para realizar el cierre de la no conformidad. TIEMPO  Tiene un tiempo máximo de (25) minutos para el desarrollo del Taller.Curso de Auditores Internos de Norma ISO 27001:2005 TALLER No 15 ISO 27001 – Seguimiento y Acción correctiva OBJETIVO  Determinar en el auditor interno la concientización requerida para garantizar la verificación de las no conformidades y cierre eficaz del proceso auditoria interna. DESARROLLO Verificación Cláusula Evidencias Eficaz Si No Fecha de cierre: Firma auditor En caso de no ser eficaz se genera nueva SAC Página 40 .
Copyright © 2024 DOKUMEN.SITE Inc.