You are on page 1of 97

Taller de Implementación

de la norma ISO 27001

Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe

Oficina Nacional de Gobierno Electrónico e Informática

Agenda

 Sección 1: Principios fundamentales de la Seguridad
de la Información

 Sección 2: Estándar y Marco Normativo

 Sección 3: Implementación de la Norma ISO 27001

2

Sección 1

Principios fundamentales de la
Seguridad de la Información

3

• Sin embargo. • Cotidianamente se puede referir a la seguridad como la reducción del riesgo o también a la confianza en algo o alguien. 4 . el término puede tomar diversos sentidos según el área o campo a la que haga referencia. ¿Qué es Seguridad? • El término seguridad proviene de la palabra securitas del latín.

Información y Activo • Información: Datos significativos • Activo: Cualquier bien que tiene valor para la organización 5 .

• Este tipo de información imprescindible para las empresas es lo que se denomina activo de información. 6 . Activo de Información • Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.

Tipos de Activos de Información • Servicios: Procesos de negocio de la organización • Datos/Información: Que son manipulados dentro de la organización. los demás activos les dan soporte. • Aplicaciones (Software) • Equipo Informático (Hardware) • Personal • Redes de Comunicación • Soporte de Información • Equipamiento Auxiliar • Instalaciones • Intangibles 7 . suelen ser el núcleo del sistema.

Registro • Documento: Información y su medio de soporte • Registro: Documento que indique los resultados obtenidos o proporcione evidencia de las actividades desempeñadas 8 . Documento .

también pueden participar otras propiedades. Seguridad de la Información La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten resguardar y proteger la información buscando mantener las dimensiones (confidencialidad. Nota: Por otra parte. el no-repudio. la responsabilidad. disponibilidad e integridad) de la misma. como la autenticidad. trazabilidad y la fiabilidad 9 .

Seguridad de la Información Abarca todo tipo de información  Impresa o escrita a mano  Grabada con asistencia técnica  Transmitida por correo electrónico o electrónicamente  Incluida en un sitio web  Mostrada en videos corporativos  Mencionada durante las conversaciones  Etc. 10 .

asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización. 11 . Confidencialidad • La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. • A grandes rasgos.

12 . sin ser manipulada o alterada por personas o procesos no autorizados. Integridad • Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. • La integridad es mantener con exactitud la información tal cual fue generada.

13 . • La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. procesos o aplicaciones. cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella. ya sean personas. Disponibilidad • La disponibilidad es la característica.

14 . Análisis de Riesgos Vulnerabilidad • La debilidad de un activo o de un control que puede ser explotada por una o más amenazas. • Las vulnerabilidades pueden ser intrínsecas o extrínsecas.

15 . Análisis de Riesgos Amenazas • Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los Elementos de Información.

Análisis de Riesgos Relación: Vulnerabilidad y Amenaza 16 .

Impacto Cambio adverso importante en el nivel de los objetivos de negocios logrados 17 .

Riesgo para la Seguridad de la Información • Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causará daño a la organización Probabilidad Consecuencia de (Impacto) Riesgo Ocurrencia 18 .

hasta situaciones muy probables pero de impacto bajo o muy bajo • zona 3 – riesgos improbables y de bajo impacto • zona 4 – riesgos improbables pero de muy alto impacto 19 . El Riesgo en función del Impacto y la Probabilidad • zona 1 – riesgos muy probables y de muy alto impacto • zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio.

directrices y prácticas o estructuras organizativas • Sinónimo: medida. dispositivo de seguridad 20 . Objetivo de Control y Control Objetivo de Control • Declaración de describir lo que se quiere lograr como resultado de los controles de aplicación Control • Métodos para gestionar a riesgo • Incluye las políticas. contra medida. procedimientos.

21 . • Hacer que socios y empleados firmen un acuerdo de confidencialidad. • Establecer y mantener contactos apropiados con los grupos de especialistas en seguridad de la información. Tipos de Controles Control preventivo  Desalentar o evitar la aparición de problemas  Ejemplos: • Publicación de la política de seguridad de la información. • Contratar sólo personal calificado.

22 . • Cámaras de vídeo. fuego o riesgos relacionados con el agua. Tipos de Controles Control de investigación  Buscar e identificar anomalías  Ejemplos: • Controles en trabajos de producción. • Control de ecos en las telecomunicaciones. • Sistema de detección de intrusiones (IDS). • Verificación de los dobles cálculos. humo. • Alarmas para detectar el calor.

tales como copias de seguridad periódicas. Tipos de Controles Control correctivo  Evitar la repetición de anomalías  Ejemplos: • Implementar planes de emergencia con la formación. pruebas. procedimientos y actividades de mantenimiento necesarios. concienciación. • Procedimientos de emergencia. • Procedimientos re-ejecutados. el almacenamiento en un lugar seguro y la recuperación de las transacciones. 23 .

Las Relaciones entre Conceptos de Gestión de Riesgos 24 .

Sección 2 Estándar y Marco Normativo 25 .

• Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales • Se han publicado mas de 19.000 normas desde 1947 26 . ¿Qué es ISO? • ISO es una red de organismos nacionales de estandarización de mas de 160 países.

Principios Básicos de las Normas ISO 1. Representación igualitaria: 1 voto por país 2. Cooperación internacional: más de 160 países además de organismos de enlace 27 . Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas 5. Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas Principios 3. Orientación al negocio: ISO sólo desarrolla Básicos de las normas para las que existe demanda del mercado Normas ISO 4.

• Un sistema de gestión ayuda a lograr los objetivos de la organización mediante una serie de estrategias. 28 . que incluyen la optimización de procesos. los procedimientos y procesos de la organización. el enfoque centrado en la gestión y el pensamiento disciplinado. ¿Qué son los Sistemas de Gestión? • Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas.

Los Sistemas de Gestión se Integran SALUD Y CALIDAD SEGURIDAD ISO 9001 TRABAJO OHSAS 18001 SISTEMA DE GESTION SEGURIDAD DE AMBIENTALISO LA ISO 14001 INFORMACION ISO 27001 29 .

En ingles se conoce con las siglas ISMS (Information security management system) 30 . operar. ¿Qué es un SGSI? • Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para establecer. monitorear. mantener y mejorar la protección de los activos de información para lograr objetivos de negocio. implementar. revisar. contribuye a la exitosa implementación de un SGSI. • El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información.

31 . ¿Qué es un SGSI? El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas. procedimientos y controles en relación a los objetivos de negocio de la organización.

Enfoque a Procesos 32 .

Ciclo de Deming • El circulo de DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestion. verificar y actuar) o ingles PDCA (Plan. Check. • El conocido Ciclo Deming o también se le denomina el ciclo PHVA que quiere decir según las iniciales (planear. Act) 33 . hacer. Do.

Ciclo de Deming 34 .

Familia ISO 27000 Vocabulario ISO 27000 Vocabulario Requisitos ISO 27001 ISO 27009 Requisitos del Requisitos organización SGSI certificadora Generalidades ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007-27008 Código buenas Guía de Gestión de Métricas Guías de Auditoria practicas Implementación Riesgos Industria ISO 27011 ISO 27799 ISO 270XX Telecomunicaciones Salud Vocabulario 35 .

ISO 27001 • Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10) • Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo • Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles • La organización puede ser certificada en esta norma 36 .

ISO 27002 • Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia) • Cláusulas escritas utilizando el verbo "debería" • Compuesto de 14 cláusulas. 35 objetivos de control y 114 controles • Una organización no puede ser certificada en esta norma • También conocida como ISO 17799 37 .

ISO 27003 • Guía para el código de prácticas para la implementación de un SGSI • Documento de referencia para ser utilizado con las normas ISO 27001 e ISO 27002 • Consta de 9 cláusulas que definen 28 etapas para implementar un SGSI • La certificación con esta norma no es posible 38 .

Historia de la Norma
ISO 27001

39

Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización

Clausula 5
Planificación

Clausula 10 Clausula 8
Mejora Funcionamiento

Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo

40

Sección 3

Implementación de la Norma ISO 27001

41

Enfoque a Procesos • La aplicación del enfoque de proceso variará de una organización a otra en función de su tamaño. para alcanzar un objetivo definido. complejidad y actividades • A menudo las organizaciones identifican demasiados procesos • Los procesos se pueden definir como un grupo lógico de tareas relacionadas entre sí. ENTRADA PROCESO SALIDA 42 .

Disposición 43 . Uso adecuado 8. Modificación 5. Creación 2. Identificación 3. Distribución 7. Información Documentada Ciclo de Vida de los Documentos 1. Clasificación y seguridad 4. Archivado 9. Aprobación 6.

Sistemas de gestión para documentos. Requisitos • La organización puede ser certificada en esta norma 44 . ISO 30301 • Información y documentación.

La implantación de un Sistema de Gestión de Seguridad de la Información es una decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada y dirigida desde la dirección 45 .

Etapas Ciclo de Deming • Definir alcance del SGSI • Definir Política de Seguridad • Compromiso de la dirección • Metodología de evaluación de • Planificación riesgos. • Fechas • Inventarios de activos • Responsables • Identificar amenazas y vulnerabilidades • Identificar Impactos • Análisis y evaluación de riesgos • Selección de controles y SOA • Definir plan de tratamiento de • Implantar mejoras riesgos • Acciones correctivas • Implantar plan de tratamiento • Acciones Preventivas de riesgos • Comprobar eficacia de las • Implementar controles acciones • Formación y concienciación • Operar el SGSI • Revisar el SGSI • Medir eficacia de los controles • Revisar riesgos residuales • Realizar auditorias internas del SGSI • Registrar acciones y eventos 46 .

Iniciando el SGSI  Definición del enfoque para la aplicación del SGSI • Velocidad de Implementación • Nivel de madurez del proceso y controles • Expectativas y ámbito  Selección de un marco metodológico • Metodología para gestionar el proyecto (PMBOK)  Alineación con las mejores practicas • ISO 27001 • ISO 27002 • ISO 27003 • ISO 27004 47 .

Nivel de Madurez Es importante determinar en que nivel se encuentra la organización. para ello CMM muestra la madurez de una organización basándose en la capacidad de sus procesos 48 .

FASE I Organización 49 .

• Obtener el apoyo institucional • Determinar el alcance del Sistema de Gestión de Seguridad de la Información • Determinar la declaración de Política de Seguridad de la Información y objetivos • Determinar criterios para la evaluación y aceptación de riesgos 50 . Fase I Organización Desarrollar las actividades principales para la dirección e inicio de la implantación del SGSI.

Disminución de incidentes 4. Ordenamiento de su negocio 51 . estos son: 1. Protección de Procesos de Negocio 3. Obtener el Apoyo Institucional • Existen 4 ejes de apoyo para sustentar el apoyo institucional. Cumplimiento 2.

Organización de la Seguridad CGSI COSI COMITÉ DE GESTION DE COMITÉ TÉCNICO DE SEGURIDAD DE LA SEGURIDAD DE LA INFORMACION INFORMACION AREAS FUNCIONALES OSI OFICIAL DE SEGURIDAD DE LA INFORMACION ROLES SI SF RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD INFORMATICA FISICA 52 .

 Se reunirá por lo menos una vez al mes para evaluar la situación institucional en materia de seguridad de la información y el plan de acción para mejorarla continuamente. revisión. mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información (SGSI).  Las funciones del Comité de Gestión de Seguridad de la Información son las siguientes: • Informar la situación Institucional en materia de seguridad de la información. Comité Gestión  El Comité de Gestión de Seguridad de la Información es el máximo órgano consultivo de carácter no técnico sobre la seguridad de la información. • Proponer la designación del Oficial de Seguridad de la Información. • Designar a los miembros del Comité Técnico de Seguridad de la Información. operación. monitoreo. • Patrocinar y participar en la implementación. 53 .

activos de información. recoger las necesidades y expectativas de los trabajadores. • Ser “embajadores” de seguridad de la información para influenciar las opiniones de una forma positiva y. Comité Técnico  El Comité Técnico de Seguridad de la Información es un órgano consultivo de carácter técnico y está integrado por los Jefes de los procesos involucrados en el alcance quienes deberán tener un amplio conocimiento de los procesos que se realizan en la institución. mejoras al SGSI. 54 .  Las funciones del Comité Consultivo de Seguridad de la Información son las siguientes: • Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos. entre otros. • Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir informes al Comité de Gestión de Seguridad de la Información. • Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la Información. procesamiento de la información.

Determinar el Alcance del SGSI • Se debe definir en función de características del negocio. localización. definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización. activos y tecnología. organización. de hecho. es recomendable empezar por un alcance limitado) 55 .

56 . • Cambios en el alcance. • Definir el ámbito y limites físicos. • Definir los limites de los sistemas de información. • Definir el alcance del SGSI. Determinar el Alcance del SGSI • Definir los limites de la organización. • Extensión del ámbito de aplicación.

aprobado y documentado 57 . Determinar el Alcance del SGSI Cualquier cambio en el alcance debe ser evaluado.

legales y contractuales en cuanto a seguridad • Debe de estar alineada con la gestión de riesgo general. establecer criterios de evaluación de riesgo y ser aprobada por la Dirección. Determinar la Declaración de Política de Seguridad de la Información y Objetivos • Debe tener el marco general y los objetivos de seguridad de la información de la organización • Debe explicar los requisitos de negocio. por lo que no pasará de dos o tres páginas. 58 . • La política de seguridad es un documento muy general. una especie de "declaración e intenciones" de la Dirección.

Tipos de Política POLITICA GENERALES Política de DE ALTO NIVEL Seguridad Política de Política del POLITICA ALTO NIVEL X TEMAS ESPECIFICOS Seguridad de SGSI la Información POLITICA Política sobre Política de Política sobre DETALLADAS control de gestión de criptografía acceso incidentes 59 .

Estructura de una Política • Resumen • Introducción • Ámbito de aplicación • Objetivos • Principios • Responsabilidades • Resultados importantes • Políticas relacionadas • Definiciones • Sanciones 60 .

hacer una combinación de varias o crear la suya propia. la organización puede optar por una de ellas. • Existen muchas metodologías de evaluación de riesgos aceptadas. desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. • ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla. Determinar Criterios para la Evaluación y Aceptación de Riesgos • Se debe definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización. 61 .

UU.UU. Algunas Metodologías para la Evaluación de Riesgos • Magerit (España) • Octave (EE.UU.) • Ebios (Francia) • Mehari (Francia) 62 .) • Tra (Canada) • Nist 800-30 (EE.) • Cramm (Reino Unido) • Microsoft (EE.

casos. formación. Facilidad de uso 6. Idioma del método 3. Posibilidad de herramientas de software 4. etc. Factores en la Selección de la Metodología 1. Documentación. Costo de utilización 7. estudios. Compatibilidad con los criterios de la ISO 27001 2.) 63 . Existencia de material de comparación (métricas. 5. apoyo.

FASE II Planificación 64 .

Desarrollar las actividades de planificación requeridas por la norma de manera metodológica y en concordancia con la política y objetivos del SGSI dentro del alcance del mismo. • Realizar evaluación de Riesgos • Conducir un análisis entre los riesgos identificados y las medidas correctivas existentes • Desarrollar un plan de tratamiento de riesgos • Desarrolla la declaración de Aplicabilidad 65 .

tipo. Realizar Evaluación de Riesgos Inventario de Activos • Todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI • Se debe inventariar el nombre activo. responsable y ubicación como campos mínimos. • Se debe realizar la dependencia de activos 66 .

Realizar Evaluación de Riesgos Inventario de Activos ESCALA VALORACION 1 Muy Alto (MA) 2 Alto (A) 3 Medio (M) 4 Bajo (B) 5 Muy Bajo (MB) 67 .

68 . Realizar Evaluación de Riesgos Análisis de Riesgos • Análisis de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir. que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo. estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.

Realizar Evaluación de Riesgos Análisis de Riesgos 69 .

Plan de Tratamiento de Riesgos 70 .

• Es. 71 . en definitiva. los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Selección de Controles y SOA • Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección. un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Redacción de la Declaración de Aplicabilidad 72 .

FASE III Despliegue 73 .

Desplegar las actividades de implementación del SGSI • Elaborar el plan de trabajo priorizado • Desarrollar documentos y registros necesarios • Implementar los controles seleccionados 74 .

generalmente se expresa por medio de un diagrama de gantt. 75 . tiempos. responsables. recursos. Plan de Trabajo del SGSI • Un plan de trabajo es un instrumento de planificación. • Estructura actividades.

Plan de Capacitación 1. Evaluación de los resultados de la capacitación 76 . Provisión de la capacitación 4. Diseño y planificación de la capacitación 3. Definir las necesidades de capacitación 2.

Plan de Capacitación 77 .

78 . Plan de Capacitación La gran diferencia entre la formación y la concientización es que la capacitación tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones mientras que el objetivo de concientizar es centrar la atención en un interés individual o una serie de asuntos sobre la seguridad.

3. 6. Plan de Comunicación 1. 79 . 5. Ejecutar el plan de medios y medir su impacto. Seleccionar los medios apropiados y su frecuencia de utilización. Fijar el presupuesto con el que contamos (cuánto). Determinar qué queremos conseguir. cuáles son nuestros objetivos. 4. Decidir a quién vamos a dirigir nuestra comunicación. 2. Pensar cuál es la idea que queremos transmitir.

Plan de Comunicación Partes Interesadas • Clientes • Proveedores • Empleados • Comunidades • Medios de Comunicación • Inversores El compromiso con las partes interesadas constituye una oportunidad para que una organización pueda conocer sus problemas e inquietudes. puede llevar a que el conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y percepciones. 80 .

Área 3: Gestión de activos. Seguridad Área 4: Seguridad relacionada con los recursos humanos. Seguridad Área 8: Adquisición. Organizativa Área 10: Gestión de la continuidad del negocio . desarrollo y mantenimiento de sistemas. Área 5: Seguridad física y del entorno Seguridad Física Área 11: Conformidad Seguridad Legal 81 . Lógica Área 9: Gestión de incidentes. Controles de la ISO 17799 ahora 27002 Área 1: Política de seguridad. Área 6: Gestión de comunicaciones y operaciones. Área 7: Control de accesos. Área 2: Organización de la seguridad de la información.

FASE IV Revisión 82 .

Realizar actividades de revisión del SGSI evidenciando el cumplimiento de los requisitos de la norma • Monitorear el desempeño del SGSI • Fortalecer la gestión de incidentes • Desarrollar documentos y registros necesarios • Desarrollar las actividades para evidenciar la mejora continua 83 .

Monitoreo Determinar los Objetivos de la Medición • La norma no indica lo que debe ser objeto de supervisión o medición • Corresponde a la empresa determinar qué es lo que necesita ser controlado y medido • Es una mejor práctica centrarse en la vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de seguridad de la información • Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante 84 .

Monitoreo Objetivos de la Medición Los objetivos de la medición en el marco de un sistema de gestión incluyen: • Evaluación de la eficacia de los procesos y procedimientos implementados. 85 . • Aportar para la revisión de la gestión para facilitar la toma de decisiones y justificar las mejoras que necesita el sistema de gestión implementado. • Facilitar la mejora del rendimiento. • Verificación de la medida en que los requisitos identificados de la norma se han cumplido.

Monitoreo Tableros de Mando 86 .

87 . Asegurarse de que los eventos de seguridad son detectados e identificados. 6. 2. 5. Tratar los incidentes de seguridad en la forma más adecuada y eficaz. Educar a los usuarios acerca de los factores de riesgo que podrían causar incidentes de seguridad. Mejorar la seguridad de los controles de la organización. Gestión de Incidentes 1. 4. Reducir el posible impacto de los incidentes sobre las operaciones de la organización. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia. 3.

FASE V Consolidación 88 .

corregir y mejorar documentación nueva o existente 89 .Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma • Auditar internamente el SGSI • Implementar las acciones correctivas • Implementar las acciones preventivas pertinentes • Desarrollar.

Seguimiento de no conformidades 90 . Crear procedimientos de auditoría 7. Crear el programa de auditoría interna 2. Auditoria Interna 1. Realizar actividades de auditoría 8. Designar al responsable 3. Asignar y administrar los recursos del programa de auditoría 6. Planificación de las actividades 5. objetividad e imparcialidad 4. Establecer la independencia.

Tratamiento de Problemas y no Conformidades • Definir un proceso para resolver problemas y no conformidades. • Definir un procedimiento de acción correctiva. 91 . • Elaborar Planes de Acción. • Definir un procedimiento de acción preventiva.

FASE VI Certificación 92 .

Definiciones de la Certificación • Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión. • Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto. proceso o servicio es conforme a las condiciones indicadas 93 .

Proceso de Certificación

1. Selección de la entidad certificadora.

2. Auditoria de Pre-evaluación.

3. Etapa 1 de la auditoria, se fija en el diseño del SGSI

4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.

5. Auditoria de seguimiento, si tuviera no conformidades

6. Confirmación de la inscripción.

94

Preguntas

95

Contactos

Soporte SGSI: Maurice Frayssinet Delgado
Correo Electrónico: mfrayssinet@pcm.gob.pe
Teléfonos: Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116
Contacto: Call Center
Correo Electrónico: ongei@pcm.gob.pe
Teléfonos: 6346000 anexo 109/106
2197000 anexo 5109/5106

96

ongei.pe .gob. ONGEI Oficina Nacional de Gobierno Electrónico e Informática www.