Beruflich Dokumente
Kultur Dokumente
E.A.P. INGENIERÍA INFORMÁTICA
VII SEMESTE
CURSO:
CONTROL Y CALIDAD DE SOFTWARE
ISO 27000
ISO 9001:2000
Cruz Cóndor Miguel
Saforas Contreras Danny
Velazco Mendoza Luis
Zarate Chamorro Roy
HUANCAYO
2008
CONTENIDO
INTRODUCCIÓN................................................................................................................................5
I. QUÉ ES ISO.....................................................................................................................................6
II. ¿QUÉ ES SGSI?..............................................................................................................................6
III. ESTRUCTURA DE LA ORGANIZACIÓN..................................................................................6
IV. ANTECEDENTES.........................................................................................................................7
V. PRINCIPALES NORMAS ISO.......................................................................................................7
VI. ISO 27000.......................................................................................................................................8
¿Qué es la norma ISO 27000?.........................................................................................................8
Familias............................................................................................................................................8
ISO 27001....................................................................................................................................8
ISO 27002...................................................................................................................................9
ISO 27003...................................................................................................................................9
ISO 27004...................................................................................................................................9
ISO 27005...................................................................................................................................9
ISO 27006...................................................................................................................................9
¿Qué tipo de empresas se están certificando en ISO 27001?.........................................................10
Consideraciones clave para el estándar..........................................................................................10
Cómo implantar ISO 27001...........................................................................................................10
Certificación...................................................................................................................................11
Implantación del SGSI...................................................................................................................11
Auditoría y certificación................................................................................................................13
Organizaciones de certificación.....................................................................................................14
Estándares certificables:.................................................................................................................14
ISMS Standards.........................................................................................................................14
New ISO series of 27000 standards......................................................................................14
ISMS Specifications.............................................................................................................14
Auditing Standards...............................................................................................................14
Accreditation Standards........................................................................................................15
Control Standards.................................................................................................................15
PROCESO DE CERTIFICACIÓN................................................................................................16
¿Qué es una entidad de certificación?............................................................................................17
El auditor........................................................................................................................................17
ISO 27k en el Perú.........................................................................................................................18
Breve resumen del estándar............................................................................................................18
VII. ISO 9001:2000............................................................................................................................23
SERIE DE NORMAS ISO 9000:2000..........................................................................................23
1. UNEENISO 9001:2000. ....................................................................................................23
2. UNEENISO 9004:2000. ....................................................................................................23
3. UNEENISO 9000:2000. ....................................................................................................23
ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS...................24
1. Objeto y campo de aplicación ..............................................................................................24
Generalidades ......................................................................................................................24
1.1 Aplicación.......................................................................................................................24
1.2 Aplicación.......................................................................................................................24
2. Referencias normativas ........................................................................................................24
3. Términos y definiciones........................................................................................................24
4. Sistema de gestión de la calidad............................................................................................25
4.1 Requisitos generales ......................................................................................................25
4.2 Requisitos de la documentación ....................................................................................25
4.2.1. Generalidades ........................................................................................................25
4.2.2. Manual de la calidad .............................................................................................25
4.2.3. Control de los documentos ...................................................................................26
4.2.4. Control de los registros .........................................................................................26
5. Responsabilidad de la dirección ...........................................................................................26
5.1. Compromiso de la dirección .........................................................................................26
5.2. Enfoque al cliente .........................................................................................................27
5.3. Política de la calidad .....................................................................................................27
5.4. Planificación .................................................................................................................27
5.4.1. Objetivos de la calidad ..........................................................................................27
5.4.2. Planificación del sistema de gestión de la calidad ................................................27
5.5. Responsabilidad, autoridad y comunicación ................................................................27
5.5.1. Responsabilidad y autoridad .................................................................................27
5.5.2. Representante de la dirección ...............................................................................27
5.5.3. Comunicación interna ...........................................................................................28
5.6. Revisión por la dirección ..............................................................................................28
5.6.1. Generalidades ........................................................................................................28
5.6.2. Información para la revisión .................................................................................28
5.6.3. Resultados de la revisión ......................................................................................28
6. Gestión de los recursos .........................................................................................................28
6.1. Provisión de recursos ....................................................................................................28
6.2. Recursos humanos ........................................................................................................28
6.2.1. Generalidades ........................................................................................................28
6.2.2. Competencia, toma de conciencia y formación ....................................................28
6.3. Infraestructura ...................................................................................................................29
6.3. Infraestructura ..............................................................................................................29
6.4. Ambiente de trabajo .....................................................................................................29
7. Realización del producto ......................................................................................................29
7.1. Planificación de la realización del producto .................................................................29
7.2. Procesos relacionados con el cliente .............................................................................30
7.2.1. Determinación de los requisitos relacionados con el producto .............................30
7.2.2. Revisión de los requisitos relacionados con el producto .......................................30
7.2.3. Comunicación con el cliente .................................................................................30
7.3. Diseño y desarrollo .......................................................................................................30
7.3.1 Planificación del diseño y desarrollo ..................................................................30
7.3.2. Elementos de entrada para el diseño y desarrollo .................................................31
7.3.3 Resultados del diseño y desarrollo ......................................................................31
7.3.4. Revisión del diseño y desarrollo ...........................................................................31
7.3.5. Verificación del diseño y desarrollo .....................................................................32
7.3.6. Validación del diseño y desarrollo ........................................................................32
7.3.7. Control de los cambios del diseño y desarrollo .....................................................32
7.4. Compras .......................................................................................................................32
7.4.1. Proceso de compras ...............................................................................................32
7.4.2. Información de las compras ..................................................................................32
7.4.3. Verificación de los productos comprados .............................................................33
7.5. Producción y prestación del servicio ............................................................................33
7.5.1. Control de la producción y de la prestación del servicio .......................................33
7.5.2. Validación de los procesos de la producción y de la prestación del servicio ........33
7.5.3. Identificación y trazabilidad .................................................................................33
7.5.4. Propiedad del cliente .............................................................................................34
7.5.5. Preservación del producto .....................................................................................34
7.6. Control de los dispositivos de seguimiento y de medición ..........................................34
Medición, análisis y mejora .....................................................................................................34
8.1. Generalidades ................................................................................................................35
8.2. Seguimiento y medición ...............................................................................................35
8.2.1. Satisfacción del cliente ..........................................................................................35
8.2.2. Auditoría interna ...................................................................................................35
8.2.3. Seguimiento y medición de los procesos ..............................................................35
8.2.4. Seguimiento y medición del producto ..................................................................36
8.3. Control del producto no conforme ...............................................................................36
8.4. Análisis de datos ...........................................................................................................36
8.5. Mejora ...........................................................................................................................37
8.5.1. Mejora continua ...................................................................................................37
8.5.2. Acción correctiva ..................................................................................................37
8.5.3 Acción preventiva ................................................................................................37
EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000...........................................................38
INTRODUCCIÓN
El presente trabajo es un muy breve resumen de los aspectos más importantes a tener en cuenta para
la aplicación del Estándar Internacional ISO 27000 e ISO 9001:2000 y sus variantes, y una breve
guía para cualquier empresa que desee planificar e implementar una política de seguridad orientada
a una futura certificación dentro de este estándar.
Se resalta la descripción de la variante ISO 27001 por ser prometedor y de uso indirecto en el el
gobierno peruano mediante la Norma Técnica Peruana NTPISO / IEC 17799:2007.
Por el lado de ISO 9001:2000, se señala los requerimientos indispensables para obtener la
certificación, como también el proceso adecuado para iniciar el plan de calidad.
I. QUÉ ES ISO
“ISO (International Organization for Standardization) is the world's largest developer and
publisher of International Standards.
ISO is a network of the national standards institutes of 157 countries, one member per
country, with a Central Secretariat in Geneva, Switzerland, that coordinates the system.
ISO is a nongovernmental organization that forms a bridge between the public and private
sectors. On the one hand, many of its member institutes are part of the governmental
structure of their countries, or are mandated by their government. On the other hand, other
members have their roots uniquely in the private sector, having been set up by national
partnerships of industry associations.”[ISO]
“ISO (International Organization for Standardization) es una federación internacional con
sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país).
Es una organización no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalización nacionales es diferente
en los distintos países (público, privado…).
ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus
miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos
estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental
de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los
que un país ha decidido adoptar un determinado estándar como parte de su legislación,
puede convertirse en obligatorio.
ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos
técnicos y 50.000 expertos que colaboran en el desarrollo de normas.”[ISOES]
II. ¿QUÉ ES SGSI?
“Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe
realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Podría considerarse, por analogía con una norma tan conocida como la ISO
9000, como el sistema de calidad para la seguridad de la información.”[ISOES]
III. ESTRUCTURA DE LA ORGANIZACIÓN
La Organización ISO está compuesta por tres tipos de miembros:
• Miembros natos, uno por país, recayendo la representación en el organismo nacional
más representativo.
• Miembros correspondientes, de los organismos de países en vías de desarrollo y
que todavía no poseen un comité nacional de normalización. No toman parte activa
en el proceso de normalización pero están puntualmente informados acerca de los
trabajos que les interesen.
• Miembros suscritos, países con reducidas economías a los que se les exige el pago
de tasas menores que a los correspondientes.
ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera
estrechamente con la Comisión Electrotécnica Internacional (International Electrotechnical
Commission, IEC) que es responsable de la estandarización de equipos eléctricos.
IV. ANTECEDENTES
V. PRINCIPALES NORMAS ISO
Algunos estándares son los siguientes:
• ISO 216 — Medidas de papel: p.e. ISO A4
• ISO 639 — Nombres de lenguas
• ISO 690:1987 — Regula las citas bibliográficas (corresponde a la norma UNE
50104:1994)
• ISO 6902:1997 — Regula las citas bibliográficas de documentos electrónicos
• ISO 732 — Formato de carrete de 120
• ISO 838 — Estándar para perforadoras de papel
• ISO 1007 — Formato de carrete de 135
• ISO/IEC 15391 — Lenguaje de programación Fortran
• ISO 3029 — Formato carrete de 126
• ISO 3166 — Códigos de países
• ISO 4217 — Códigos de divisas
• ISO 7811 — Técnica de grabación en tarjetas de identificación
• ISO 8601 — Representación del tiempo y la fecha. Adoptado en Internet mediante el
Date and Time Formats de W3C que utiliza UTC
• ISO 8859 — Codificaciones de caracteres que incluye ASCII como un subconjunto
(Uno de ellos es el ISO 88591, que permite codificar las lenguas originales de
Europa occidental, como el español)
• ISO/IEC 8652:1995 — Lenguaje de programación Ada
• ISO 9000 — Sistemas de Gestión de la Calidad – Fundamentos y vocabulario
• ISO 9001 — Sistemas de Gestión de la Calidad – Requisitos
• ISO 9004 — Sistemas de Gestión de la Calidad – Directrices para la mejora del
desempeño
• ISO 9660 — Sistema de archivos de CDROM
• ISO 9899 — Lenguaje de programación C
• ISO 10279 — Lenguaje de programación BASIC
• ISO 10646 — Universal Character Set
• ISO/IEC 11172 — MPEG1
• ISO/IEC 12207 — Tecnología de la información / Ciclo de vida del software
• ISO 13450 — Formato de carrete de 110
• ISO/IEC 13818 — MPEG2
• ISO 14000 — Estándares de Gestión Medioambiental en entornos de producción
• ISO/IEC 14496 — MPEG4
• ISO/IEC 15444 — JPEG 2000
• ISO 15693 — Estándar para «tarjetas de vecindad»
• ISO 22000 Inocuidad en alimentos.
• ISO 26300 — OpenDocument
• ISO/IEC 17025 — Requisitos generales relativos a la competencia de los laboratorios
de ensayo y calibración
• ISO/IEC 26300 — OpenDocument Format (.odf)
• ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información
• ISO/IEC 20000 — Tecnología de la información. Gestión del servicio
• ISO 32000 — Formato de Documento Portátil (.pdf)
VI. ISO 27000
¿Qué es la norma ISO 27000?
“ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.”[ISOES]
Familias
ISO 27001
“Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar,
monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI). Se basa en un ciclo de vida PDCA (PlanDoCheckAct; o ciclo de
Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001
para calidad, ISO 14001 para medio ambiente, etc.).
Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI
según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada
y, tras superar con éxito la misma, recibir la certificación en ISO 27001.”[ISOES]
“The objective of the standard itself is to "provide a model for establishing, implementing,
operating, monitoring, reviewing, maintaining, and improving an Information Security
Management System". Regarding its adoption, this should be a strategic decision. Further,
"The design and implementation of an organization's ISMS is influenced by their needs and
objectives, security requirements, the process employed and the size and structure of the
organization".”[27000,ORG]
ISO 27002
“Su origen está en la norma de BSI (British Standards Institution) BS7799Parte 2, norma
que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces.
Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. No es
certificable. “[ISOES]
ISO 27003
“The purpose of this proposed development is to provide help and guidance in implementing
an ISMS (Information Security Management System). This will include focus upon the
PDCA method, with respect to establishing, implementing reviewing and improving the
ISMS itself.
ISO committee SC27 will oversee the development, as with other information security
standards.However, this is a longer term project, and publication is not expected until late in
2008 or early in 2009.”[27000,ORG]
ISO 27004
“ISO 27004 is the official number of the emerging standard covering information security
management measurement and metrics. Again, however, it is not expected to be published in
the immediate term. However, its development is well underway, being at stage 3, working
draft level.
It is intended to help an organization establish the effectiveness of its ISMS implementation,
embracing benchmarking and performance targeting within the PDCA cycle.”[27000,ORG]
ISO 27005
“ISO 27005 is the name of the prime 27000 series standard covering information security
risk management. The standard provides guidelines for information security risk
management (ISRM) in an organization, specifically supporting the requirements of an
information security management system defined by ISO 27001.
The ISO 27005 standard comprises 55 pages, and is applicable to all types of organization. It
does not provide or recommend a specific methodology. This will depend upon a number of
factors, such as the actual scope of the Information Security Management System (ISMS), or
perhaps the industry/commercial sector.”[27000,ORG]
ISO 27006
“The ISO 27001 standard was published in October 2005, essentially replacing the old
BS77992 standard. It is the specification for an ISMS, an Information Security
Management System. BS7799 itself was a long standing standard, first published in the
nineties as a code of practice. As this matured, a second part emerged to cover management
systems. It is this against which certification is granted. Today in excess of a thousand
certificates are in place, across the world.
ISO 27001 enhanced the content of BS77992 and harmonized it with other standards. A
scheme has been introduced by various certification bodies for conversion from BS7799
certification to ISO27001 certification.
The objective of the standard itself is to "provide a model for establishing, implementing,
operating, monitoring, reviewing, maintaining, and improving an Information Security
Management System". Regarding its adoption, this should be a strategic decision. Further,
"The design and implementation of an organization's ISMS is influenced by their needs and
objectives, security requirements, the process employed and the size and structure of the
organization".”[27000,ORG]
¿Qué tipo de empresas se están certificando en ISO 27001?
“El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de
servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas,
aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura,
industrias de servicios diversos, sector del transporte y gobiernos entre otros.
En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la
información, como prueba del compromiso con la seguridad de los datos de sus
clientes.”[ISOES]
Consideraciones clave para el estándar
Según [ANISO] la propuesta de esta norma, no está orientada a despliegues tecnológicos
o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que
podría definir su propósito es “Organizar la seguridad de la información”, por ello
propone toda una secuencia de acciones tendientes al “establecimiento, implementación,
operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information
Security Management System)” (como podrán apreciar que se recalcará repetidas veces a lo
largo del mismo). El ISMS, es el punto fuerte de este estándar.
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes
líneas:
● ISMS.
● Valoración de riegos (Risk Assesment)
● Controles
Cómo implantar ISO 27001
Según [ISOES]:
● Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://
www.iso.org), AENOR (http://www.aenor.es) en España, DGN
(http://www.economia.gob.mx/index.jsp?P=85) en México, ICONTEC
(http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM
(http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).
● Realizar un curso de formación, de los muchos que hay en el mercado, de
introducción a la norma, a su implantación y su auditoría. En nuestra sección de
Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).
● Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los
controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea
aproximada de la distancia que le separa de la conformidad con la norma y el camino
que habrá que recorrer.
● En muchos casos, es necesario contratar los servicios de una empresa consultora
especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las
decisiones de negocio no deben ser trasladadas a nadie externo a la organización.
● Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de
política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc
● Paralelamente, formar y concienciar a todo el personal.
● Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al
menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente,
son esas evidencias y registros históricos los que indican al auditor externo que el
sistema de gestión funciona de manera adecuada.
● Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o
varias entidades de certificación acreditadas para pedir formalmente la visita de
auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente,
un servicio añadido de “preauditoria” muy recomendable para afrontar con garantías
una primera certificación en la norma.
Certificación
La norma ISO 27001, al igual que su antecesora BS 77992, es certificable. Esto quiere decir
que la organización que tenga implantado un SGSI puede solicitar una auditoría a una
entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una
certificación del sistema según ISO 27001.
Implantación del SGSI
Según [ISOES]
“El paso previo a intentar la certificación es la implantación en la organización del sistema
de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un
historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso
formal de auditoría para su primera certificación”
El ISO 27001 exige que el SGSI contemple los siguientes puntos:
● Implicación de la Dirección.
● Alcance del SGSI y política de seguridad.
● Inventario de todos los activos de información.
● Metodología de evaluación del riesgo.
● Identificación de amenazas, vulnerabilidades e impactos.
● Análisis y evaluación de riesgos.
● Selección de controles para el tratamiento de riesgos.
● Aprobación por parte de la dirección del riesgo residual.
● Declaración de aplicabilidad.
● Plan de tratamiento de riesgos.
● Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
● Definición de un método de medida de la eficacia de los controles y puesta en
marcha del mismo.
● Formación y concienciación en lo relativo a seguridad de la información a todo el
personal.
● Monitorización constante y registro de todas las incidencias.
● Realización de auditorías internas.
● Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio
SGSI y de su alcance.
● Mejora continua del SGSI.
La documentación del SGSI deberá incluir:
● Política y objetivos de seguridad.
● Alcance del SGSI.
● Procedimientos y controles que apoyan el SGSI.
● Descripción de la metodología de evaluación del riesgo.
● Informe resultante de la evaluación del riesgo.
● Plan de tratamiento de riesgos.
● Procedimientos de planificación, manejo y control de los procesos de seguridad de
la información y de medición de la eficacia de los controles.
● Registros.
● Declaración de aplicabilidad (SOA Statement of Applicability).
● Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
● Política de seguridad.
● Asignación de responsabilidades de seguridad.
● Formación y capacitación para la seguridad.
● Registro de incidencias de seguridad.
● Gestión de continuidad del negocio.
● Protección de datos personales.
● Salvaguarda de registros de la organización.
● Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La
propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO
27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico.
En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la
organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de
la información, la calidad, el medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos
3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la
siguiente forma:
● Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma
de datos por parte de la misma.
● Respuesta en forma de oferta por parte de la entidad certificadora.
● Compromiso.
● Designación de auditores, determinación de fechas y establecimiento conjunto del
plan de auditoría.
● Preauditoría: opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y oriente mejor sobre las posibilidades de
superar la auditoría real.
● Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del
análisis de la documentación por parte del Auditor Jefe y la preparación del informe
de la documentación básica del SGSI del cliente, destacando los posibles
incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía
junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de
6 meses.
● Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ
las políticas, la implantación de los controles de seguridad y la eficacia del sistema
en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto,
alcance, el proceso, el personal, instalaciones y recursos necesarios, así como
posibles cambios de última hora. Se realiza una revisión de las exclusiones según la
Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la
implantación de políticas, procedimientos y controles y de todos aquellos puntos que
el auditor considere de interés. Finaliza con una reunión de cierre en la que se
presenta el informe de auditoría.
● Certificación: en el caso de que se descubran durante la auditoría no conformidades
graves, la organización deberá implantar acciones correctivas; una vez verificada
dicha implantación o, directamente, en el caso de no haberse presentado no
conformidades, el auditor podrá emitir un informe favorable y el SGSI de
organización será certificado según ISO 27001.
● Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una
auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del
sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y
fomentar y verificar la mejora continua.
● Auditoría de recertificación: cada tres años, es necesario superar una auditoría de
certificación formal completa como la descrita.
Organizaciones de certificación
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS
77992) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com.
Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de
certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo.
Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la
oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se
está gestionando correctamente la seguridad de la información, añade un factor de tensión y
de concentración en una meta a todos los miembros del proyecto y de la organización en
general y envía una señal al mercado de que la empresa en cuestión es confiable y es
gestionada transparentemente.
Estándares certificables:
Según y al a fecha 25set08 [ISMS]
“
ISMS Standards
New ISO series of 27000 standards
● ISO/IEC 27000 Fundamentals and vocabulary
● ISO/IEC 27001 ISMS Requirements (revised BS 7799 Part 2:2005) Published
15th Oct 2005
● ISO/IEC 27002 Code of practice for information security management as from April
2007 currently ISO/IEC 17799:2005, published 15th June 2005
● ISO/IEC 27003 ISMS implementation guidance (under development)
● ISO/IEC 27004 Information security management measurement (under development)
● ISO/IEC 27005 Information security risk management (based on and incorporating
ISO/IEC 13335 MICTS Part 2) (under development)
● ISO/IEC 27006 Requirements for bodies providing audit and certification of
information security management systems Published 15th February 2007
● ISO/IEC 27007 Guidelines for information security management systems auditing
(under development)
ISMS Specifications
● ISO/IEC 27001:2005 ISMS Requirements (revised version of BS 77992:2002
Information security management systems – specification with guidance for use.)
● ISO 9001:2000 Quality Management Systems – Requirements
Auditing Standards
● ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems
Auditing
Accreditation Standards
● ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit
and certification of management systems
● ISO/IEC 27006 Requirements for bodies providing audit and certification of
information security management systems
Control Standards
● ISO/IEC 27002:2005 Code of practice for information security management
PROCESO DE CERTIFICACIÓN
¿Qué es una entidad de certificación?
Las entidades de certificación son organismos de evaluación de la conformidad, encargados
de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos
requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el
SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a
lo detallado en la norma.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar
acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación,
comprueba, mediante evaluaciones independientes e imparciales, la competencia de las
entidades de certificación para la actividad objeto de acreditación. En cada país suele haber
una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración
encarga esa tarea.
Revisando [IAF] (International Acreditation Foro), no se encontró en Perú una entidad de
Certificación
El más próximo es Chile: Instituto Nacional de Normalizacion (INN) y Brasil con
General Coordination for Accreditation Cgcre, of National Institute of Metrology,
Standardization and Industrial Quality (INMETRO)
En España, es ENAC (Entidad Nacional de Acreditación)
La acreditación de entidades de certificación para ISO 27001 o para BS 77992 antes de
derogarse suele hacerse en base al documento EA 7/03 (ANEXO 1) "Directrices para la
acreditación de organismos operando programas de certificación/registro de sistemas de
gestión de seguridad en la información". En el futuro, será la norma ISO 27006 la que regule
directamente estas cuestiones.
Las entidades de acreditación establecen acuerdos internacionales para facilitar el
reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para
ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA
(European cooperation for Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se
distinguen tres clases de auditores:
● de primera parte: auditor interno que audita la organización en nombre de sí misma,
normalmente, como mantenimiento del sistema de gestión y como preparación a la
auditoría de certificación;
● de segunda parte: auditor de cliente, es decir, que audita una organización en nombre
de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de
outsourcing;
● de tercera parte: auditor independiente, que audita una organización como tercera
parte imparcial; normalmente, porque la organización tiene la intención de lograr la
certificación y contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una
certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las
competencias profesionales y personales necesarias para desempeñar la labor de auditoría de
la materia para la que está certificado.
ISO 27k en el Perú
“Según RESOLUCIÓN MINISTERIAL Nº 2462007PCM Aprueban uso obligatorio de la
Norma Técnica Peruana “NTPISO / IEC 17799:2007 EDI. Tecnología de la Información.
Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición”
en todas las entidades integrantes del Sistema Nacional de Informática.”[ONGEI]
La norma está basada en ISO/IEC 17799:2006, equivalente a ISO/IEC 27002.
Breve resumen del estándar
Según [ANISO]:
0. Introducción:
0.1 General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la
adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está
influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad,
los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación,
ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las
soluciones.
0.2. Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización
necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente.
Cualquier actividad que emplea recursos y es administrada para transformar entradas en
salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son
aprovechadas nuevamente como entradas, generando una realimentación de los mismos. Este
estándar internacional adopta también el modelo “PlanDoCheckAct” (PDCA), el cual es
aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:
● Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos,
procesos, procedimientos relevantes para la administración de riesgos y mejoras para
la seguridad de la información, entregando resultados acordes a las políticas y
objetivos de toda la organización.
● Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e
implementar la política, controles, procesos y procedimientos.
● Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los
procesos ejecutados con relación a la política del ISMS, evaluar objetivos,
experiencias e informar los resultados a la administración para su revisión.
● Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas,
basados en las auditorías internas y revisiones del ISMS o cualquier otra información
relevante para permitir la continua mejora del ISMS.
1.2. Aplicación:
Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad
de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5,
6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma.
Estas cláusulas son:
4. ISMS.
5. Responsabilidades de la Administración
6. Auditoría Interna del ISMS
7. Administración de las revisiones del ISMS
8. Mejoras del ISMS.
(Estas cláusulas realmente conforman el cuerpo principal de esta norma) Cualquier
exclusión a los controles detallados por la norma y denominados como “necesarios” para
satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de
manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y
aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este
estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la
capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que
se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las
regulaciones y legislación vigente.
2. Normativas de referencia:
Para la aplicación de este documento, es indispensable tener en cuenta la última versión de:
“ISO/IEC 17799:2005, Information technology — Security techniques — Code of
practice for information security management”
3. Términos y definiciones:
La siguiente terminología aplica a esta norma:
3.1. Recurso (Asset): Cualquier cosa que tenga valor para la organización.
3.2. Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por
una
entidad autorizada.
3.3. Confidencialidad (confidentiality): Propiedad que la información no esté disponible o
pueda ser descubierta por usuarios no autorizados, entidades o procesos.
3.4. Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información, en adición también de otras propiedades como
autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser
también consideradas.
3.5. Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre
un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad
de la información o fallo en el almacenamiento de la misma, también cualquier situación
previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.
3.6. Incidente de seguridad: uno o varios eventos de seguridad de la información, no
deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones
de la empresa y amenazan a la seguridad de la información.
3.7. Sistema de administración de la seguridad de la información (ISMS: Information
Security Management System): Parte de los sistemas de la empresa, basado en el análisis
de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar la seguridad de la información.
NOTA: el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
3.8. Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.
3.9. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
3.10. Aceptación de riesgo: Decisión de aceptar un riesgo.
3.11. Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar
riesgos.
3.12. Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.
3.13. Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios
de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el
resultado final de esta actividad, pero no debe ser pensada únicamente con relación a
“Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya
definido a lo largo de toda su política empresarial.
3.14. Administración del riesgo: Actividades coordinadas para dirigir y controlar las
medidas necesarias para la observación del riesgo dentro de la organización. revisará,
mantendrá ymejorará un documentado ISMS en el contexto de su propia organización para
las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma
el proceso está basado en el modelo PDCA comentado en el punto 0.2.
4.3.2. Control de documentos:
Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un
procedimiento documentado deberá establecer las acciones de administración necesarias
para:
● Aprobar documentos y prioridades o clasificación de empleo.
● Revisiones, actualizaciones y reaprobaciones de documentos.
● Asegurar que los cambios y las revisiones de documentos sean identificados.
● ! Asegurar que las últimas versiones de los documentos aplicables estén disponibles
y listas para ser usadas.
● Asegurar que los documentos permanezcan legibles y fácilmente identificables.
● Asegurar que los documentos estén disponibles para quien los necesite y sean
transferidos, guardados y finalmente dispuestos acorde a los procedimientos
aplicables a su clasificación.
● Asegurar que los documentos de origen externo sean identificados.
● Asegurar el control de la distribución de documentos.
● Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara
identificación para poder acceder a ellos y que queden almacenados para cualquier
propósito
5. Responsabilidades de administración:
5.1. La administración proveerá evidencias de sus compromisos para el establecimiento,
implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:
● Establecimiento de la política del ISMS
● Asegurar el establecimiento de los objetivos y planes del ISMS.
● Establecer roles y responsabilidades para la seguridad de la información.
● Comunicar y concienciar a la organización sobre la importancia y apoyo necesario
alos objetivos propuestos por la política de seguridad, sus responsabilidades legales y
la necesidad de una continua mejora en este aspecto.
● Proveer suficientes recursos para establecer, operar, implementar, monitorizar,
revisar, mantener y mejorar el ISMS (5.2.1).
● Decidir los criterios de aceptación de riesgos y los niveles del mismo.
● Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan
a la administración para la revisión del ISMS (ver 7.)
5.2.2. Formación, preparación y competencia:
La organización asegurará que todo el personal a quien sean asignadas responsabilidades
definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas,
para ello deberá proveer las herramientas y capacitación necesaria (Documento:
Planificación, guías y programas de formación y preparación).
6. Auditoría interna del ISMS:
La organización realizará auditorías internas al ISMS a intervalos planeados para determinar
si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a
esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar
su propio trabajo, ni cualquier otro que guarde relación con él. La responsabilidad y
requerimientos para el planeamiento y la conducción de las actividades de auditoría, los
informes resultantes y el mantenimiento de los registros será definido en un procedimiento
(Ver: Procedimiento de Revisión del ISMS Periódicas y aperiódicas
7. Administración de las revisiones del ISMS:
Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al
año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán
valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de
seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se
mencionó en el punto anterior serán claramente documentados y los mismos darán origen a
esta actividad. Esta actividad está constituida por la revisión de entradas (7.2.) y la de salidas
(7.3.) y dará como resultado el documento correspondiente (Ver: Documento de
administración de las revisiones del ISMS).
8. Mejoras al ISMS
La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de
la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el
análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones
de administración.
8.2. Acciones correctivas:
La organización llevará a cabo acciones para eliminar las causas que no estén en
conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los
mismos. Cada una de estas acciones correctivas deberá ser documentada (Ver: Documento
de acciones correctivas)
El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan
agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de
OECD (guía de administración de riesgos de sistemas de información y redes París, Julio
del 2002, “www.oecd.org”) y su correspondencia con el modelo PDCA.
Por último el Anexo C, también informativo, resume la correspondencia entre esta norma y
los estándares ISO 9001:2000 y el ISO 14001:2004
VII.ISO 9001:2000 [ISOES]
La Norma Internacional, ISO 9001, fue preparada por el Comité Técnico ISO/TC 176,
Gestión y Aseguramiento de la Calidad, Subcomité SC 2, Sistemas de la Calidad.
Esta tercera edición de la Norma ISO 9001 anula y reemplaza la segunda edición (ISO
9001:1994), así como a las Normas ISO 9002:1994 e ISO 9003:1994.
Esta edición de la Norma ISO 9001 incorpora un título revisado, en el cual ya no se incluye
el término "Aseguramiento de la calidad". De esta forma se destaca el hecho de que los
requisitos del sistema de gestión de la calidad establecidos en esta edición de la Norma ISO
9001, además del aseguramiento de la calidad del producto pretenden también aumentar la
satisfacción del cliente.
Las normas ISO 9000 de 1994 estaban principalmente pensadas para organizaciones que
realizaban proceso productivo y, por tanto, su implantación en las empresas de servicios era
muy dura y por eso se sigue en la creencia de que es un sistema bastante burocrático.
Con la revisión de 2000 se ha conseguido una norma bastante menos burocrática para
organizaciones de todo tipo, y además se puede aplicar sin problemas en empresas de
servicios e incluso en la Administración Pública.
Para verificar que se cumple con los requisitos de la norma, existen unas entidades de
certificación que dan sus propios certificados y permiten el sello. Estas entidades están
vigiladas por organismos nacionales que les dan su acreditación.
Para la implantación, es muy conveniente que apoye a la organización una empresa de
consultoría, que tenga buenas referencias, y el firme compromiso de la Dirección de que
quiere implantar el Sistema, ya que es necesario dedicar tiempo del personal de la empresa
para implantar el Sistema de gestión de la calidad.
SERIE DE NORMAS ISO 9000:2000 [ISOES]
1. UNEENISO 9001:2000.
Sistema de Gestión de la Calidad. Requisitos. Define los elementos mínimos de un Sistema
de Gestión de la Calidad necesarios para lograr la satisfacción del cliente. Su propósito es la
certificación.
2. UNEENISO 9004:2000.
Sistema de gestión de la calidad. Directrices para la Mejora del desempeño. Proporciona una
guía más allá de los requisitos mínimos para el establecimiento, operación y mejora continua
de un sistema de gestión de la calidad.
3. UNEENISO 9000:2000.
Sistemas de gestión de la calidad. Fundamento y vocabulario.
ISO 9001:2000 SISTEMAS DE GESTIÓN DE LA CALIDAD — REQUISITOS [REQ]
1. Objeto y campo de aplicación
1.1 Generalidades
Esta Norma Internacional especifica los requisitos para un sistema de gestión de la
calidad, cuando una organización
b) Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz
del sistema, incluidos los procesos para la mejora continua del sistema y el
aseguramiento de la conformidad con los requisitos del cliente y los
reglamentarios aplicables.
En esta Norma Internacional, el término "producto" se aplica únicamente al producto
destinado a un cliente o solicitado por él.
1.2 Aplicación
Todos los requisitos de esta Norma Internacional son genéricos y se pretende que
sean aplicables a todas las organizaciones sin importar su tipo, tamaño y producto
suministrado.
Cuando uno o varios requisitos de esta Norma Internacional no se puedan aplicar
debido a la naturaleza de la organización y de su producto, pueden considerarse para
su exclusión.
2. Referencias normativas
El documento normativo, contiene disposiciones que, a través de referencias, constituyen
disposiciones de esta Norma Internacional.
No obstante, se recomienda a las partes que basen sus acuerdos en esta Norma Internacional
que investiguen la posibilidad de aplicar la edición más reciente del documento normativo.
Los miembros de CEI e ISO mantienen el registro de las Normas Internacionales vigentes.
3. Términos y definiciones
Para el propósito de esta Norma Internacional, son aplicables los términos y definiciones
dados en la Norma ISO 9000.
A lo largo del texto de la Norma Internacional, cuando se utilice el término "producto", éste
puede significar también "servicio".
4. Sistema de gestión de la calidad
4.1.Requisitos generales
La organización debe establecer, documentar, implementar y mantener un sistema de
gestión de la calidad y mejorar continuamente su eficacia de acuerdo con los
requisitos de esta Norma Internacional.
La organización debe :
a) Identificar los procesos necesarios para el sistema de gestión de la calidad y
su aplicación.
b) Determinar la secuencia e interacción de estos procesos.
c) Determinar los criterios y métodos necesarios para asegurarse de que tanto la
operación como el control de estos procesos sean eficaces.
d) Asegurarse de la disponibilidad de recursos e información necesarios para
apoyar la operación y el seguimiento de estos procesos.
e) Realizar el seguimiento, la medición y el análisis de estos procesos, e
f) Implementar las acciones necesarias para alcanzar los resultados planificados
y la mejora continua de estos procesos.
4.2. Requisitos de la documentación
4.2.1. Generalidades
La documentación del sistema de gestión de la calidad debe incluir :
a) Declaraciones documentadas de una política de la calidad y de
objetivos de la calidad,
b) Un manual de la calidad,
c) Los procedimientos documentados requeridos en esta Norma
Internacional,
d) Los documentos necesitados por la organización para asegurarse de la
eficaz planificación, operación y control de sus procesos, y
e) Los registros requeridos por esta Norma Internacional (véase 4.2.4).
La extensión de la documentación del sistema de gestión de la calidad puede
diferir de una organización a otra :
a) El tamaño de la organización y el tipo de actividades,
b) La complejidad de los procesos y sus interacciones, y
c) La competencia del personal.
La documentación puede estar en cualquier formato o tipo de medio.
4.2.2. Manual de la calidad
La organización debe establecer y mantener un manual de la calidad que
incluya:
a) El alcance del sistema de gestión de la calidad, incluyendo los detalles
y la justificación de cualquier exclusión (véase 1.2).
b) Los procedimientos documentados establecidos para el sistema de
gestión de la calidad, o referencia a los mismos, y
c) Una descripción de la interacción entre los procesos del sistema de
gestión de la calidad.
4.2.3. Control de los documentos
Los documentos requeridos por el sistema de gestión de la calidad deben
controlarse. Los registros son un tipo especial de documento y deben
controlarse de acuerdo con los requisitos citados en 4.2.4.
Debe establecerse un procedimiento documentado que defina los controles
necesarios para :
4.2.4. Control de los registros
Los registros deben establecerse y mantenerse para proporcionar evidencia de
la conformidad con los requisitos así como de la operación eficaz del sistema
de gestión de la calidad. Los registros deben permanecer legibles, fácilmente
identificables y recuperables. Debe establecerse un procedimiento
documentado para definir los controles necesarios para la identificación, el
almacenamiento, la protección, la recuperación, el tiempo de retención y la
disposición de los registros.
5. Responsabilidad de la dirección
5.1. Compromiso de la dirección
La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo e
implementación del sistema de gestión de la calidad, así como con la mejora continua
de su eficacia.
5.2. Enfoque al cliente
La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se
cumplen con el propósito de aumentar la satisfacción del cliente (véanse 7.2.1 y
8.2.1).
5.3. Política de la calidad
La alta dirección debe asegurarse de que la política de la calidad.
a) Es adecuada al propósito de la organización,
b) Incluye un compromiso de cumplir con los requisitos y de mejorar
continuamente la eficacia del sistema de gestión de la calidad,
c) Proporciona un marco de referencia para establecer y revisar los objetivos de
la calidad,
d) Es comunicada y entendida dentro de la organización, y
e) Es revisada para su continua adecuación.
5.4. Planificación
5.4.1. Objetivos de la calidad
La alta dirección debe asegurarse de que los objetivos de la calidad,
incluyendo aquéllos necesarios para cumplir los requisitos para el producto
[véase 7.1 a)], se establecen en las funciones y niveles pertinentes dentro de la
organización. Los objetivos de la calidad deben ser medibles y coherentes con
la política de la calidad.
5.4.2. Planificación del sistema de gestión de la calidad
La alta dirección debe asegurarse de que :
a) La planificación del sistema de gestión de la calidad se realiza con el
fin de cumplir los requisitos citados en 4.1, así como los objetivos de
la calidad, y
b) Se mantiene la integridad del sistema de gestión de la calidad cuando
se planifican e implementan cambios en éste.
5.5. Responsabilidad, autoridad y comunicación
5.5.1. Responsabilidad y autoridad
La alta dirección debe asegurarse de que las responsabilidades y autoridades
están definidas y son comunicadas dentro de la organización.
5.5.2. Representante de la dirección
La alta dirección debe designar un miembro de la dirección quien, con
independencia de otras responsabilidades, debe tener la responsabilidad y
autoridad que incluya:
a) Asegurarse de que se establecen, implementan y mantienen los
procesos necesarios para el sistema de gestión de la calidad,
b) Informar a la alta dirección sobre el desempeño del sistema de gestión
de la calidad y de cualquier necesidad de mejora, y
c) Asegurarse de que se promueva la toma de conciencia de los
requisitos del cliente en todos los niveles de la organización.
5.5.3. Comunicación interna
La alta dirección debe asegurarse de que se establecen los procesos de
comunicación apropiados dentro de la organización y de que la comunicación
se efectúa considerando la eficacia del sistema de gestión de la calidad.
5.6. Revisión por la dirección
5.6.1. Generalidades
La alta dirección debe, a intervalos planificados, revisar el sistema de gestión
de la calidad de la organización, para asegurarse de su conveniencia,
adecuación y eficacia continuas. La revisión debe incluir la evaluación de las
oportunidades de mejora y la necesidad de efectuar cambios en el sistema de
gestión de la calidad, incluyendo la política de la calidad y los objetivos de la
calidad.
Deben mantenerse registros de las revisiones por la dirección (véase 4.2.4).
5.6.2. Información para la revisión
La información de entrada para la revisión por la dirección debe incluir :
a) Resultados de auditorías,
b) Retroalimentación del cliente,
c) Desempeño de los procesos y conformidad del producto,
d) Estado de las acciones correctivas y preventivas,
e) Acciones de seguimiento de revisiones por la dirección previas,
f) Cambios que podrían afectar al sistema de gestión de la calidad, y
g) Recomendaciones para la mejora.
5.6.3. Resultados de la revisión
Los resultados de la revisión por la dirección deben incluir todas las
decisiones y acciones relacionadas con :
a) La mejora de la eficacia del sistema de gestión de la calidad y sus
procesos.
b) La mejora del producto en relación con los requisitos del cliente, y
c) Las necesidades de recursos.
6. Gestión de los recursos
6.1. Provisión de recursos
La organización debe determinar y proporcionar los recursos necesarios para :
a) Implementar y mantener el sistema de gestión de la calidad y mejorar
continuamente su eficacia, y
b) Aumentar la satisfacción del cliente mediante el cumplimiento de sus
requisitos.
6.2. Recursos humanos
6.2.1. Generalidades
El personal que realice trabajos que afecten a la calidad del producto debe ser
competente con base en la educación, formación, habilidades y experiencia
apropiadas.
6.2.2. Competencia, toma de conciencia y formación
La organización debe :
a) Determinar la competencia necesaria para el personal que realiza
trabajos que afectan a la calidad del producto,
b) Proporcionar formación o tomar otras acciones para satisfacer dichas
necesidades,
c) Evaluar la eficacia de las acciones tomadas,
d) Asegurarse de que su personal es consciente de la pertinencia e
importancia de sus actividades y de cómo contribuyen al logro de los
objetivos de la calidad, y
e) Mantener los registros apropiados de la educación, formación,
habilidades y experiencia (véase 4.2.4).
6.3. Infraestructura
La organización debe determinar, proporcionar y mantener la infraestructura
necesaria para lograr la conformidad con los requisitos del producto. La
infraestructura incluye, cuando sea aplicable :
a) Edificios, espacio de trabajo y servicios asociados,
b) Equipo para los procesos, (tanto hardware como software), y
c) Servicios de apoyo tales (como transporte o comunicación).
6.4. Ambiente de trabajo
La organización debe determinar y gestionar el ambiente de trabajo necesario para
lograr la conformidad con los requisitos del producto.
7. Realización del producto
7.1. Planificación de la realización del producto
La organización debe planificar y desarrollar los procesos necesarios para la
realización del producto. La planificación de la realización del producto debe ser
coherente con los requisitos de los otros procesos del sistema de gestión de la calidad
(véase 4.1).
Durante la planificación de la realización del producto, la organización debe
determinar, cuando sea apropiado, lo siguiente:
a) Los objetivos de la calidad y los requisitos para el producto;
b) La necesidad de establecer procesos, documentos y de proporcionar recursos
específicos para el producto;
c) Las actividades requeridas de verificación, validación, seguimiento,
inspección y ensayo/prueba específicas para el producto así como los criterios
para la aceptación del mismo;
d) Los registros que sean necesarios para proporcionar evidencia de que los
procesos de realización y el producto resultante cumplen los requisitos (véase
4.2.4).
El resultado de esta planificación debe presentarse de forma adecuada para la
metodología de operación de la organización.
7.2. Procesos relacionados con el cliente
7.2.1. Determinación de los requisitos relacionados con el producto
La organización debe determinar :
a) Los requisitos especificados por el cliente, incluyendo los requisitos
para las actividades de entrega y las posteriores a la misma,
b) Los requisitos no establecidos por el cliente pero necesarios para el
uso especificado o para el uso previsto, cuando sea conocido,
c) Los requisitos legales y reglamentarios relacionados con el producto,
y
d) Cualquier requisito adicional determinado por la organización.
7.2.2. Revisión de los requisitos relacionados con el producto
La organización debe revisar los requisitos relacionados con el producto. Esta
revisión debe efectuarse antes de que la organización se comprometa a
proporcionar un producto al cliente (por ejemplo envío de ofertas, aceptación
de contratos o pedidos, aceptación de cambios en los contratos o pedidos) y
debe asegurarse de que :
a) Están definidos los requisitos del producto,
b) Están resueltas las diferencias existentes entre los requisitos del
contrato o pedido y los expresados previamente, y
c) La organización tiene la capacidad para cumplir con los requisitos
definidos.
d) Deben mantenerse registros de los resultados de la revisión y de las
acciones originadas por la misma.
Cuando el cliente no proporcione una declaración documentada de los
requisitos, la organización debe confirmar los requisitos del cliente antes de la
aceptación.
Cuando se cambien los requisitos del producto, la organización debe
asegurarse de que la documentación pertinente sea modificada y de que el
personal correspondiente sea consciente de los requisitos modificados.
En algunas situaciones, tales como las ventas por internet, no resulta práctico
efectuar una revisión formal de cada pedido. En su lugar, la revisión puede
cubrir la información pertinente del producto, como son los catálogos o el
material publicitario.
7.2.3. Comunicación con el cliente
La organización debe determinar e implementar disposiciones eficaces para la
comunicación con los clientes, relativas a :
a) La información sobre el producto,
b) Las consultas, contratos o atención de pedidos, incluyendo las
modificaciones, y
c) La retroalimentación del cliente, incluyendo sus quejas.
7.3. Diseño y desarrollo
7.3.1 Planificación del diseño y desarrollo
La organización debe planificar y controlar el diseño y desarrollo del
producto.
Durante la planificación del diseño y desarrollo la organización debe
determinar :
a) Las etapas del diseño y desarrollo,
b) La revisión, verificación y validación, apropiadas para cada etapa del
diseño y desarrollo, y
c) Las responsabilidades y autoridades para el diseño y desarrollo.
7.3.2. Elementos de entrada para el diseño y desarrollo
Deben determinarse los elementos de entrada relacionados con los requisitos
del producto y mantenerse registros . Estos elementos de entrada deben
incluir :
a) Los requisitos funcionales y de desempeño,
b) Los requisitos legales y reglamentarios aplicables,
c) La información proveniente de diseños previos similares, cuando sea
aplicable, y
d) Cualquier otro requisito esencial para el diseño y desarrollo.
Estos elementos deben revisarse para verificar su adecuación. Los requisitos
deben estar completos, sin ambigüedades y no deben ser contradictorios.
7.3.3 Resultados del diseño y desarrollo
Los resultados del diseño y desarrollo deben proporcionarse de tal manera
que permitan la verificación respecto a los elementos de entrada para el
diseño y desarrollo, y deben aprobarse antes de su liberación. Los resultados
del diseño y desarrollo deben :
a) Cumplir los requisitos de los elementos de entrada para el diseño y
desarrollo,
b) Proporcionar información apropiada para la compra, la producción y
la prestación del servicio,
c) Contener o hacer referencia a los criterios de aceptación del producto,
y
d) Especificar las características del producto que son esenciales para el
uso seguro y correcto.
7.3.4. Revisión del diseño y desarrollo
En las etapas adecuadas, deben realizarse revisiones sistemáticas del diseño y
desarrollo de acuerdo con lo planificado.
7.3.5. Verificación del diseño y desarrollo
Se debe realizar la verificación, de acuerdo con lo planificado (véase 7.3.1),
para asegurarse de que los resultados del diseño y desarrollo cumplen los
requisitos de los elementos de entrada del diseño y desarrollo. Deben
mantenerse registros de los resultados de la verificación y de cualquier acción
que sea necesaria.
7.3.6. Validación del diseño y desarrollo
Se debe realizar la validación del diseño y desarrollo de acuerdo con lo
planificado para asegurarse de que el producto resultante es capaz de
satisfacer los requisitos para su aplicación especificada o uso previsto, cuando
sea conocido Siempre que sea factible, la validación debe completarse antes
de la entrega o implementación del producto. Deben mantenerse registros de
los resultados de la validación y de cualquier acción que sea necesaria.
7.3.7. Control de los cambios del diseño y desarrollo
Los cambios del diseño y desarrollo deben identificarse y deben mantenerse
registros. Los cambios deben revisarse, verificarse y validarse, según sea
apropiado, y aprobarse antes de su implementación. La revisión de los
cambios del diseño y desarrollo debe incluir la evaluación del efecto de los
cambios en las partes constitutivas y en el producto ya entregado.
Deben mantenerse registros de los resultados de la revisión de los cambios y
de cualquier acción que sea necesaria.
7.4. Compras
7.4.1. Proceso de compras
La organización debe asegurarse de que el producto adquirido cumple los
requisitos de compra especificados. El tipo y alcance del control aplicado al
proveedor y al producto adquirido debe depender del impacto del producto
adquirido en la posterior realización del producto o sobre el producto final.
La organización debe evaluar y seleccionar los proveedores en función de su
capacidad para suministrar productos de acuerdo con los requisitos de la
organización. Deben establecerse los criterios para la selección, la evaluación
y la reevaluación. Deben mantenerse los registros de los resultados de las
evaluaciones y de cualquier acción necesaria que se derive de las mismas.
7.4.2. Información de las compras
La información de las compras debe describir el producto a comprar,
incluyendo, cuando sea apropiado :
a) Requisitos para la aprobación del producto, procedimientos, procesos
y equipos,
b) Requisitos para la calificación del personal, y
c) Requisitos del sistema de gestión de la calidad.
d) La organización debe asegurarse de la adecuación de los requisitos de
compra especificados antes de comunicárselos al proveedor.
7.4.3. Verificación de los productos comprados
La organización debe establecer e implementar la inspección u otras
actividades necesarias para asegurarse de que el producto comprado cumple
los requisitos de compra especificados.
Cuando la organización o su cliente quieran llevar a cabo la verificación en
las instalaciones del proveedor, la organización debe establecer en la
información de compra las disposiciones para la verificación pretendida y el
método para la liberación del producto.
7.5. Producción y prestación del servicio
7.5.1. Control de la producción y de la prestación del servicio
La organización debe planificar y llevar a cabo la producción y la prestación
del servicio bajo condiciones controladas. Las condiciones controladas deben
incluir, cuando sea aplicable :
a) La disponibilidad de información que describa las características del
producto,
b) La disponibilidad de instrucciones de trabajo, cuando sea necesario,
c) El uso del equipo apropiado,
d) La disponibilidad y uso de dispositivos de seguimiento y medición,
e) La implementación del seguimiento y de la medición, y
f) La implementación de actividades de liberación, entrega y posteriores
a la entrega.
7.5.2. Validación de los procesos de la producción y de la prestación del
servicio
La organización debe validar aquellos procesos de producción y de prestación
del servicio donde los productos resultantes no puedan verificarse mediante
actividades de seguimiento o medición posteriores. Esto incluye a cualquier
proceso en el que las deficiencias se hagan aparentes únicamente después de
que el producto esté siendo utilizado o se haya prestado el servicio.
La validación debe demostrar la capacidad de estos procesos para alcanzar los
resultados planificados. La organización debe establecer las disposiciones
para estos procesos, incluyendo, cuando sea aplicable :
a) Los criterios definidos para la revisión y aprobación de los procesos,
b) La aprobación de equipos y calificación del personal,
c) El uso de métodos y procedimientos específicos,
d) Los requisitos de los registros, y
e) La revalidación.
7.5.3. Identificación y trazabilidad
Cuando sea apropiado, la organización debe identificar el producto por
medios adecuados, a través de toda la realización del producto. La
organización debe identificar el estado del producto con respecto a los
requisitos de seguimiento y medición.
Cuando la trazabilidad sea un requisito, la organización debe controlar y
registrar la identificación única del producto.
7.5.4. Propiedad del cliente
La organización debe cuidar los bienes que son propiedad del cliente mientras
estén bajo el control de la organización o estén siendo utilizados por la
misma. La organización debe identificar, verificar, proteger y salvaguardar los
bienes que son propiedad del cliente suministrados para su utilización o
incorporación dentro del producto. Cualquier bien que sea propiedad del
cliente que se pierda, deteriore o que de algún otro modo se considere
inadecuado para su uso debe ser registrado y comunicado al cliente.
7.5.5. Preservación del producto
La organización debe preservar la conformidad del producto durante el
proceso interno y la entrega al destino previsto. Esta preservación debe incluir
la identificación, manipulación, embalaje, almacenamiento y protección. La
preservación debe aplicarse también, a las partes constitutivas de un producto.
7.6. Control de los dispositivos de seguimiento y de medición
La organización debe determinar el seguimiento y la medición a realizar, y los
dispositivos de medición y seguimiento necesarios para proporcionar la evidencia de
la conformidad del producto con los requisitos determinados (véase 7.2.1).
La organización debe establecer procesos para asegurarse de que el seguimiento y
medición pueden realizarse y se realizan de una manera coherente con los requisitos
de seguimiento y medición.
Cuando sea necesario asegurarse de la validez de los resultados, el equipo de
medición debe :
a) Calibrarse o verificarse a intervalos especificados o antes de su utilización,
comparado con patrones de medición trazables a patrones de medición
nacionales o internacionales; cuando no existan tales patrones debe
registrarse la base utilizada para la calibración o la verificación;
b) Ajustarse o reajustarse según sea necesario;
c) Identificarse para poder determinar el estado de calibración;
d) Protegerse contra ajustes que pudieran invalidar el resultado de la medición;
e) Protegerse contra los daños y el deterioro durante la manipulación, el
mantenimiento y el almacenamiento.
Además, la organización debe evaluar y registrar la validez de los resultados de las
mediciones anteriores cuando se detecte que el equipo no está conforme con los
requisitos. La organización debe tomar las acciones apropiadas sobre el equipo y
sobre cualquier producto afectado. Deben mantenerse registros de los resultados de la
calibración y la verificación.
Debe confirmarse la capacidad de los programas informáticos para satisfacer su
aplicación prevista cuando éstos se utilicen en las actividades de seguimiento y
medición de los requisitos especificados. Esto debe llevarse a cabo antes de iniciar su
utilización y confirmarse de nuevo cuando sea necesario.
8. Medición, análisis y mejora
8.1. Generalidades
La organización debe planificar e implementar los procesos de seguimiento,
medición, análisis y mejora necesarios para:
a) Demostrar la conformidad del producto,
b) Asegurarse de la conformidad del sistema de gestión de la calidad, y
c) Mejorar continuamente la eficacia del sistema de gestión de la calidad.
Esto debe comprender la determinación de los métodos aplicables, incluyendo las
técnicas estadísticas, y el alcance de su utilización.
8.2. Seguimiento y medición
8.2.1. Satisfacción del cliente
Como una de las medidas del desempeño del sistema de gestión de la calidad,
la organización debe realizar el seguimiento de la información relativa a la
percepción del cliente con respecto al cumplimiento de sus requisitos por
parte de la organización. Deben determinarse los métodos para obtener y
utilizar dicha información.
8.2.2. Auditoría interna
La organización debe llevar a cabo a intervalos planificados auditorías
internas para determinar si el sistema de gestión de la calidad :
a) Es conforme con las disposiciones planificadas (véase 7.1), con los
requisitos de esta Norma Internacional y con los requisitos del sistema
de gestión de la calidad establecidos por la organización, y
b) Se ha implementado y se mantiene de manera eficaz.
Se debe planificar un programa de auditorías tomando en consideración el
estado y la importancia de los procesos y las áreas a auditar, así como los
resultados de auditorías previas. Se deben definir los criterios de auditoría, el
alcance de la misma, su frecuencia y metodología. La selección de los
auditores y la realización de las auditorías deben asegurar la objetividad e
imparcialidad del proceso de auditoría. Los auditores no deben auditar su
propio trabajo.
Deben definirse, en un procedimiento documentado, las responsabilidades y
requisitos para la planificación y la realización de auditorías, para informar de
los resultados y para mantener los registros.
La dirección responsable del área que esté siendo auditada debe asegurarse de
que se toman acciones sin demora injustificada para eliminar las no
conformidades detectadas y sus causas. Las actividades de seguimiento deben
incluir la verificación de las acciones tomadas y el informe de los resultados
de la verificación.
8.2.3. Seguimiento y medición de los procesos
La organización debe aplicar métodos apropiados para el seguimiento, y
cuando sea aplicable, la medición de los procesos del sistema de gestión de la
calidad. Estos métodos deben demostrar la capacidad de los procesos para
alcanzar los resultados planificados. Cuando no se alcancen los resultados
planificados, deben llevarse a cabo correcciones y acciones correctivas, según
sea conveniente, para asegurarse de la conformidad del producto.
8.2.4. Seguimiento y medición del producto
La organización debe medir y hacer un seguimiento de las características del
producto para verificar que se cumplen los requisitos del mismo. Esto debe
realizarse en las etapas apropiadas del proceso de realización del producto de
acuerdo con las disposiciones planificadas (véase 7.1).
Debe mantenerse evidencia de la conformidad con los criterios de aceptación.
Los registros deben indicar la(s) persona(s) que autoriza(n) la liberación del
producto.
La liberación del producto y la prestación del servicio no deben llevarse a
cabo hasta que se hayan completado satisfactoriamente las disposiciones
planificadas, a menos que sean aprobados de otra manera por una autoridad
pertinente y, cuando corresponda, por el cliente.
8.3. Control del producto no conforme
La organización debe asegurarse de que el producto que no sea conforme con los
requisitos, se identifica y controla para prevenir su uso o entrega no intencional. Los
controles, las responsabilidades y autoridades relacionadas con el tratamiento del
producto no conforme deben estar definidos en un procedimiento documentado.
La organización debe tratar los productos no conformes mediante una o más de las
siguientes maneras:
a) Tomando acciones para eliminar la no conformidad detectada;
b) Autorizando su uso, liberación o aceptación bajo concesión por una autoridad
pertinente y, cuando sea aplicable, por el cliente;
c) Tomando acciones para impedir su uso o aplicación originalmente previsto.
Se deben mantener registros de la naturaleza de las no conformidades y de cualquier
acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido.
Cuando se corrige un producto no conforme, debe someterse a una nueva
verificación para demostrar su conformidad con los requisitos.
Cuando se detecta un producto no conforme después de la entrega o cuando ha
comenzado su uso, la organización debe tomar las acciones apropiadas respecto a los
efectos, o efectos potenciales, de la no conformidad.
8.4. Análisis de datos
La organización debe determinar, recopilar y analizar los datos apropiados para
demostrar la idoneidad y la eficacia del sistema de gestión de la calidad y para
evaluar dónde puede realizarse la mejora continua de la eficacia del sistema de
gestión de la calidad. Esto debe incluir los datos generados del resultado del
seguimiento y medición y de cualesquiera otras fuentes pertinentes.
El análisis de datos debe proporcionar información sobre :
a) La satisfacción del cliente,
b) La conformidad con los requisitos del producto,
c) Las características y tendencias de los procesos y de los productos,
incluyendo las oportunidades para llevar a cabo acciones preventivas, y
d) Los proveedores.
8.5. Mejora
8.5.1. Mejora continua
La organización debe mejorar continuamente la eficacia del sistema de
gestión de la calidad mediante el uso de la política de la calidad, los objetivos
de la calidad, los resultados de las auditorías, el análisis de datos, las acciones
correctivas y preventivas y la revisión por la dirección.
8.5.2. Acción correctiva
La organización debe tomar acciones para eliminar la causa de no
conformidades con objeto de prevenir que vuelva a ocurrir. Las acciones
correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
Debe establecerse un procedimiento documentado para definir los requisitos
para :
a) Revisar las no conformidades (incluyendo las quejas de los clientes),
b) Determinar las causas de las no conformidades,
c) Evaluar la necesidad de adoptar acciones para asegurarse de que las
no conformidades no vuelvan a ocurrir,
d) Determinar e implementar las acciones necesarias,
e) Registrar los resultados de las acciones tomadas , y
f) Revisar las acciones correctivas tomadas.
8.5.3 Acción preventiva
La organización debe determinar acciones para eliminar las causas de no
conformidades potenciales para prevenir su ocurrencia. Las acciones
preventivas deben ser apropiadas a los efectos de los problemas potenciales.
Debe establecerse un procedimiento documentado para definir los requisitos
para :
a) Determinar las no conformidades potenciales y sus causas,
b) Evaluar la necesidad de actuar para prevenir la ocurrencia de no
conformidades,
c) Determinar e implementar las acciones necesarias,
d) Registrar los resultados de las acciones tomadas, y
e) Revisar las acciones preventivas tomadas.
EL PROCESO DE ACREDITACIÓN DE ISO 9001:2000
[URL]
1. PRIMER PASO: Solicitud de acreditación
Para solicitar la acreditación, debe desarrollar el apropiado formulario de solicitud y
enviarlo a ENAC aportando toda la documentación que se indica en el mismo. Esta
documentación servirá para conocer las características de su organización y el modo
en el que se llevan a cabo las actividades para las que solicita la acreditación y para
preparar adecuadamente la evaluación. Así mismo debe adjuntar el justificante de
pago de la tarifa de apertura de expediente de acuerdo a las Tarifas en vigor.
La información recibida por ENAC, tanto en la solicitud como a lo largo de todo el
proceso de acreditación será considerada como CONFIDENCIAL.
1.1. Alcance de acreditación
El alcance de Acreditación es una parte fundamental de la solicitud de
acreditación ya que constituirá finalmente el Anexo Técnico que acompaña al
“Certificado de Acreditación”. El solicitante de la acreditación establece el
alcance para el que desea ser acreditado en función de sus necesidades y
objetivos.
La solicitud de acreditación para un alcance concreto es una declaración por
parte de la entidad de su competencia técnica para todas las actividades
incluidas en él y la evaluación de ENAC persigue, por tanto, determinar si la
entidad es capaz de demostrar su competencia en la totalidad del alcance
declarado.
Para conocer en qué términos se debe definir el alcance dispone de
instrucciones en cada uno de los formularios de solicitud.
1.2. Aceptación y revisión de la Solicitud
Una vez recibida la solicitud de acreditación, ENAC revisa la documentación
suministrada con objeto de comprobar que la actividad es susceptible de ser
acreditada y comunica al solicitante el número de expediente asignado, y el
técnico responsable de coordinar su proceso de acreditación.
El técnico responsable del expediente verifica que el alcance de las
actividades a acreditar está claramente definido y confirma que se ha
aportado toda la información necesaria para preparar y realizar
adecuadamente la evaluación. Si la documentación no fuera completa o
adecuada se pedirá al solicitante que la complete.
Si todo es correcto, y antes de iniciar la evaluación, ENAC remite al
solicitante para su aceptación un presupuesto estimado del coste del proceso.
2. SEGUNDO PASO. Evaluación
2.1. Designación del equipo auditor
ENAC designa, de entre sus auditores y expertos calificados, al equipo
auditor que llevará a cabo, el proceso de evaluación que contará con un
auditor jefe, responsable final de la auditoría, y tantos expertos técnicos
como sean necesarios en función de las actividades para las que la entidad
solicita la acreditación.
ENAC informa al solicitante de los nombres de los miembros del equipo
auditor y, en su caso, de la organización a la que pertenecen. Si la entidad
entiende que hay motivos que pudieran comprometer su imparcialidad puede
recusarlos por escrito, aportando los motivos.
2.2. Estudio documental
Previo a la auditoría “in situ” se realiza un estudio de los documentos técnicos
de la entidad. El informe con el resultado del estudio se envía a la entidad
para que adopte las medidas que considere oportunas para resolver, en su
caso, los problemas identificados.
2.3. Auditoría y visitas de acompañamiento
Una vez se considera satisfactorio el estudio documental, el auditor jefe se
pone en contacto con la entidad para fijar la fecha de la auditoría y le envía un
Programa de Auditoría.
Durante la auditoría, se evalúa el sistema de gestión de la entidad, su
funcionamiento, la ejecución de las actividades y la implantación de los
requisitos de acreditación.
Con objeto de verificar la correcta aplicación e interpretación de los
procedimientos de trabajo y la competencia técnica del personal se
seleccionan actividades representativas del alcance de acreditación para
presenciar la actuación del personal técnico.
• En laboratorios de ensayo se solicita la realización de una muestra
representativa de los ensayos que son objeto de acreditación.
• En laboratorios de calibración, se solicita la calibración de un “patrón
de transferencia”, previamente calibrado por un laboratorio acreditado,
que proporciona el equipo auditor.
• En entidades de inspección, certificación y verificadores se realizan
visitas de acompañamiento en las que los expertos técnicos presencian
la actuación de los auditores / inspectores.
Al final de la auditoría el equipo auditor presentará a los representantes de la
entidad un resumen de los resultados de la investigación y las desviaciones
detectadas respecto a los criterios de acreditación.
2.4. Informe del equipo auditor
Tras la realización de la auditoría se facilita a la entidad un informe escrito
elaborado por el equipo auditor con los resultados de la evaluación realizada.
2.5. Respuesta del solicitante
La entidad debe analizar las causas de las desviaciones que se han detectado,
revisar la repercusión que pueden tener en el resto de actividades relacionadas
y remitir a ENAC un plan de acciones correctoras, aportando evidencias que
demuestren que han recibido el tratamiento adecuado para su resolución.
La entidad podrá alegar aquellos extremos del informe con los que se
encuentre disconforme, aportando todas las evidencias que considere
necesarias.
3. TERCER PASO: Decisión de Acreditación
Las decisiones de acreditación son tomadas por un órgano técnico independiente
denominado Comisión de Acreditación.
Para conceder la acreditación, la Comisión de Acreditación debe obtener la confianza
adecuada en que se cumplen los requisitos de acreditación y en que las desviaciones
detectadas en su caso, han sido convenientemente tratadas. Para ello analiza la
información generada durante el proceso de evaluación y basándose en ello adopta
una de estas decisiones:
• Conceder la acreditación.
• Determinar las actividades de evaluación extraordinarias que sean necesarias
para asegurarse de la subsanación de las desviaciones detectadas.
En caso de disconformidad con la decisión, la entidad puede dirigirse al Comité
Permanente, formulando cuantas alegaciones tenga por oportunas.
3.1. Certificado de Acreditación
En el Certificado de Acreditación se expresan específicamente:
• Nombre de la entidad y número de la acreditación concedida.
• Alcance de la acreditación, por referencia a un documento llamado
Anexo Técnico al certificado.
• Fecha de entrada en vigor de la acreditación.
La entidad acreditada tiene derecho a hacer uso de la marca de ENAC o
referencia a su condición de acreditado en las condiciones establecidas en el
documento CEAENAC01 “Criterios para la utilización de la marca ENAC o
referencia a la condición de acreditado”.
4. MANTENIMIENTO DE LA ACREDITACIÓN
La acreditación no es el resultado de un proceso puntual. ENAC evalúa regularmente
a las entidades acreditadas, comprobando que mantienen su competencia técnica
mediante visitas de seguimiento y auditorías de reevaluación. La frecuencia de las
visitas se establece en función de los resultados previos.
4.1. Seguimientos
La primera visita de seguimiento se realiza en un plazo no superior a un año
desde la concesión de la acreditación y los siguientes seguimientos se realizan
no más tarde de 18 meses desde la última visita, notificando la fecha a la
entidad con antelación.
4.2. Reevaluaciones
Transcurridos como máximo 4 años desde la fecha inicial de acreditación se
reevalua la competencia de la entidad, realizando una auditoría equivalente a
la inicial. La siguiente auditoría de reevaluación a la entidad se programará
en un plazo no superior a 5 años desde la anterior.
5. AMPLIACIÓN DEL ALCANCE DE ACREDITACIÓN
Las entidades acreditadas pueden ampliar el alcance de su acreditación. Para ello
deben solicitar formalmente dicha ampliación, utilizando los formularios de
solicitud.
Para evaluar esta ampliación se aplica el proceso de evaluación ya descrito,
simplificado según proceda en función del volumen y carácter de dicha ampliación.
Los costes del proceso de evaluación pueden reducirse si la ampliación coincide con
una visita de seguimiento.
6. COSTE DE LA ACREDITACIÓN
Puede consultar las tarifas aplicables a la acreditación para los distintos esquemas
(laboratorios, inspección, certificación de producto, certificación de sistemas de
gestión,...) en la sección Tarifas.
El coste del proceso incluye una tarifa correspondiente a la tramitación y gestión del
proceso y el coste correspondiente al número de días de auditor necesarios para llevar
a cabo la evaluación que está. en función del alcance de acreditación y las
características de la entidad. Previo a la realización de una evaluación, ENAC remite
al solicitante un presupuesto con el coste estimado del proceso para su aceptación.
Las entidades acreditadas pagan una tarifa anual por el mantenimiento de la
acreditación.
FUENTES:
ISO: International Organization for Standarization, About, , http://www.iso.org/iso/about.htm
ISOES: , ISO 27000 FAQ, , http://www.iso27000.es/faqs.html
27000,ORG: , An Introduction To ISO 27k, , http://www.27000.org
ANISO: Alejandro Corletti Estrada, ANÁLISIS DE ISO27001:2005, Madrid, abril de 2006.
ISMS: , Internacional Register of ISMS Certificates, , http://www.iso27001certificates.com/
IAF: , Internationa Acreditation Foro, , http://www.compad.com.au/clients/iaf/indexPrev.php?
updaterUrlPrev=articles&artId=194
ONGEI: , Oficina Nacional de Gobierno Electrónico e Informática, ,
http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01PCMISO17799001V2.pdf
ISOES: ISO9001, http://www.iso9001.com.es/,
REQ: http://www.congresoson.gob.mx/ISO/ISO90012000_Requisitos.pdf, ISO 9001
REQUISITOS,
URL: ENAC Entidad Nacional de Acreditación, http://www.enac.es/,