jueves, 8 de marzo de 2018

SOLUCIONES A LA GESTIÓN DE DOCUMENTOS EN SISTEMAS INTEGRADOS ISO

Una buena manera de organizar un gestor documental para un sistema integrado de gestión es hacerlo en base a los procesos.
Ya hemos hablado de los documentos maestros como la política y los objetivos de gestión y una serie de procedimientos e instructivos que describen los diferentes procesos incluidos en el sistema de gestión.

Las organizaciones que cuentan con sistemas integrados de gestión fundamentados en un enfoque basado en procesos, poseen la siguiente estructura documental:

Tal y como hemos ido definiendo estableceremos unas carpetas de acceso para la totalidad de los empleados de la organización donde ubicaremos la política y el manual integrados.

A partir de mapa de procesos, dentro de la estructura que alberga cada uno de ellos asociaremos los procedimientos, de los cuáles pueden partir formatos o instrucciones técnicas que desarrollen más los procedimientos.

Asimismo debemos de tener en cuenta la documentación externa al sistema, como por ejemplo normas, que pueden vincularse perfectamente a los procesos.

Otro punto de interés es alinear los procesos y/o documentos a los requerimientos de la/s norma/s a los cuáles está dando cumplimiento, por lo que una matriz que enfrente requisitos de la norma frente a documentación del sistema nos da una visualización de gran utilidad.

Es muy importante en nuestro sistema de gestión documental:
  • Que la documentación sea accesible para todo el mundo.
  • Que las personas tengan accesos controlados a la documentación a través de permisos.
  • Que no se pueda acceder de forma libre a documentos obsoletos.
  • Que exista trazabilidad entre las versiones de los documentos.
  • Que podamos realizar una distribución rápida y efectiva de nuevas versiones de documentos.
En definitiva, que la documentación trabaje para el sistema de gestión y no el sistema de gestión para la documentación.
La documentación trabaja para el sistema de gestión y no el sistema para la documentación

El futuro de la documentación en los sistemas de gestión

El nuevo enfoque de ISO a través del Anexo SL, va a hacer que dejemos de hablar de procedimientos y registros y trabajemos con un concepto común de información documentada.

En el caso de la ISO 9001:2015 hablará de que la organización debe de tener la información requerida por la norma de manera documentada y los documentos determinados por la organización como necesarios para la efectividad de sistema de gestión.

Se hace hincapié en decir que el alcance de la información documentada puede diferir de una organización a otra por su tamaño, actividades, procesos, productos y servicios, la complejidad de sus procesos y también de la competencia de las personas.

La norma indicará que al crear y actualizar la información documentada la organización debe asegurar la identificación y descripción, así como el formato (idioma, versión del software, gráficos), los medios por los cuáles el documento se comunica (papel, formato electrónico, etc.) y la revisión periódica de la misma.

El sistema de gestión debe asegurar que la documentación esté disponible para su uso dónde y cuándo sea necesario y que además esté protegidade manera adecuada.

Para el control de la información documentada las empresas deberán de hacer frente a las siguientes actividades: distribución, acceso, uso, recuperación, almacenamiento, conservación, control de cambios, retención y disposición.

La información documentada de origen externo que se determine por la organización como necesaria para la planificación y operación del sistema de gestión se identificará y controlará.

Como nota, se reseña que el acceso a un documento puede implicar solamente la autorización para visualizar la información documentada o el permiso y la autoridad para verla y cambiarla.

Tomado de: https://www.isotools.org

LA NUEVA ISO 27007 MUY ESPERADA POR LOS AUDITORES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la comisión electrotécnica internacional que se encargan de establecer estándares y guías llevadas a cabo con sistemas de gestión y son aplicables a cualquier tipo de empresa internacional y mundial, con el fin de facilitar el comercio, facilitar el intercambio de información y contribuir a la trasferencia de tecnologías.

La familia ISO 27000

La familia de normas ISO 27000 son un conjunto de estándares de seguridad que proporcionan un marco para gestionar la seguridad.

Es necesario que se establezcan prácticas recomendadas en seguridad de la información para desarrollar, implantar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información utilizable en cualquier tipo de empresa, ya sea pública o privada, grande o pequeña, etc.

La seguridad de la información, según la norma ISO 27001, se basa en la preservación de la confidencialidad, integridad y disponibilidad, además de como los sistemas aplicados para su tratamiento.
  • Confidencialidad, la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
  • Integridad, el mantenimiento de la exactitud y la complejidad de la información y sus métodos de proceso.
  • Disponibilidad, acceso y utilización de la información, además de los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.
La guía ISO 27007

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de Seguridad de la Información.

El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de la Información de la auditoría de cumplimiento:
  • Administración del programa de auditoría del Sistema de Gestión de Seguridad de la Información para determinar que se debe auditar, cuando y como, además de asignar los auditores apropiados, administrar todos los riesgos, mantener registros de auditoría, mejorar de forma continua el proceso, etc.
  • Realización de una auditoría, con los que se debe realizar una planificación, establecer una conducta, llevar a cabo las actividades clave de auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el seguimiento.
  • Gestión de auditores del Sistema de Gestión de Seguridad de la Información, como puede ser competencias, habilidades, atributos y evaluación.
La norma ISO 27007 proporciona una guía para organismos de certificación acreditados

La aplicación de la norma ISO 19011

El cuerpo principal de la norma aconseja sobre la aplicación de la norma ISO 19011 al contexto del Sistema de Gestión de Seguridad de la Información, con unos pocos comentarios explicativos no muy útiles. El anexo establece con más nivel de detalle todas las pruebas de auditoría específicas sobre el cumplimiento de la empresa tomando como referencia a la norma ISO 27001.

Para continuar nos deben proporcionar los productos y servicios que necesitamos, además las organizaciones manejan grandes cantidades de datos. La seguridad de la información es una gran preocupación para los consumidores y las organizaciones se alimentan de una serie de ciberataques de alto perfil.

Los estragos causados por estos ataques se deben a celebridades avergonzadas por fotos descuidadas, la pérdida de registros médicos, rescatar amenazas que ascienden a millones que han afectado incluso a las corporaciones más poderosas.

Cuando los datos contengan suficiente información personal, financiera o médica, las empresas tienen la obligación moral y legal de mantenerla a salvo de los ciberdelicuentes. En este momento entra en juego la familia de normas ISO 27000, éstas ayudan a las empresas a administrar la seguridad de actividad como puede ser la información financiera, propiedad intelectual, los detalles de empleados y la información que les ha sido confiados por terceros.

La norma ISO 27001 es el estándar más conocido de toda la familia, la norma proporciona todos los requisitos para un sistema de gestión de seguridad de la información. Es un estándar internacional en el que una empresa puede certificarse, aunque la certificación siempre es opcional.

Auditores

ISO 27007 “Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de sistemas de gestión de la seguridad de la información” ayuda a las empresas y auditores a preparase a fondo proporcionando una guía clara. Se publicó por primera vez en el año 2011, ahora se ha actualizado a ISO 27007 2017 para que se encuentre alineado con la norma ISO 27001 2013.

Tomado: https://www.pmg-ssi.com