INTEGRACIÓN DE

SISTEMAS DE GESTIÓN
ISO9001 E ISO27001

AUTOR: NELSON ANGELES QUIÑONES

Consultor en Seguridad de la Información y Ciberseguridad
AGENDA

1.Realidad actual en las organizaciones

2.Estándares
3.Integración de Sistemas de Gestión
4.Documentos de metodología para la Integración
AGENDA

1.Realidad actual en las organizaciones

2.Estándares
3.Integración de Sistemas de Gestión
4.Documentos de metodología para la Integración
Nuevos retos en riesgos
La importancia de los riesgos
• No aporta valor ….
• Si pensamos en todo lo malo, no hacemos nada
• Hay suficientes controles.
• Acá pensamos en metas, no en riesgos.
• Aceptamos que es común fallen los sistemas tecnológicos.
• ¡No hay tiempo para evaluar los riesgos, necesito continuar
con el negocio!
• Acá nunca pasó nada.
• No tenemos los procesos definidos.
• Gestionar los riesgos no me va a ayudar a vender más.
• Si ocurre algo, ya lo arreglaremos.
AGENDA

1.Realidad actual en las organizaciones

2.Estándares
3.Integración de Sistemas de Gestión
4.Documentos de metodología para la Integración
Normas usados para SGC
Normas de la familia ISO27000
 Lineamientos
ISO 27001 Y OTRAS ISO
RELACIONADAS

ISO27001
Controles Implementación

SGSI
ISO27002 ISO27003

Cloud
Computing

ISO27017 ISO27004 ISO27005 ISO27032

Métricas Riesgos de SI Ciberseguridad
AGENDA

1.Realidad actual en las organizaciones

2.Estándares
3.Integración de Sistemas de Gestión
4.Documentos de metodología para la Integración
Normas Internacionales

ISO
20000-1
ISO ISO
9001 22000
ISO ISO ISO
45001 22301 37001

ISO ISO
14001 28000
ISO
27001
Estructura de Alto Nivel – Anexo SL
Ventajas de Integrar SG
Preparación inicial para la Integración
Paso 1. Asegurar el nivel de
compromiso de la dirección con el SIG
Técnicas: observación directa, encuestas,
entrevistas, charlas.

Paso 5. Desarrollo de la
capacitación al grupo de
implantación sobre SIG. Paso 2. Evaluar que sistemas de
Técnicas: Generación de ideas, seminario, gestión y su nivel de
conferencia, estudio de casos, actividades implantación en la empresa.
prácticas y trabajo en grupo. Técnicas: observación directa, revisión
de documentos, encuestas y entrevistas.

Paso 4. Hacer y aprobar el

cronograma del proceso de Paso 3. Selección del grupo de
implantación del SIG trabajo para la implantación.
Técnica: Trabajo en grupo, Tormenta de Técnicas: trabajo en grupo y para buscar
ideas y buscar consensos consenso, análisis de documentos y
tormenta de ideas.
Sistema de Gestión
ISO 9001
• Satisfacción al cliente
• Productos y Servicios

Alcance del Sistema de Gestión (4.3)

ISO 27001
Organización y su
Apoyo y • Seguridad de la
contexto
(4.1) Planificar Operación Hacer Información
(7 y 8)

Evaluación
Liderazgo del
Resultados del
Planificación
(6) (5) desempeño Sistema de
(9) Gestión

Necesidades y
expectativas de las
partes interesadas
pertinentes
(4.2) Mejora
Actuar Verificar
(10)
Riesgos en Sistemas de Gestión

Seguimiento, Órgano de
análisis, medición y Entorno Gobierno/Consejo
evaluación

Partes Interesadas
Procesos y
Comunicación resultados

Alta Dirección y
Riesgos empleados
Competencia
Política SIG Plan de comunicación (difundir)

Comunicación
La política deberá:
• Demostrar el compromiso de la Alta
Dirección
• Ser aprobada por la Alta Dirección Concientización Capacitación

La política debe ser firmada por una persona

de la Alta Dirección, pero el proceso de
No
aprobación puede pertenecer a un comité. ¿objetivo
alcanzado?
• Junta de Directores Si
• Consejo de Administración
• Comité de Gobierno Digital Control, evaluación y revisión
AGENDA

1.Realidad actual en las organizaciones

2.Estándares
3.Integración de Sistemas de Gestión
4.Documentos de metodología para la Integración
Proceso de Implantación de la
Integración de SG
Proceso de Implantación de la
Integración de SG
2018 2019