Академический Документы
Профессиональный Документы
Культура Документы
PRAI MÓDULO 6
CURSANTE: RICHAR MAUCÓ
Una empresa de software, recibe la auditoria de otorgamiento de certificado basado en la ISO27001. Dando continuidad a la agenda de
trabajo, el auditor se ubica en el área de Gestión Integral, donde audita el control de la información documentada, pero evidencia que la
información de origen procedente del exterior de la compañía está en Mandarín, aquella relacionada con la infraestructura de TI, la cual es
usada diariamente por el personal de la empresa. Al preguntar a algunos empleados, no conocen este idioma por lo cual no tiene acceso a
dicha información y que la persona que se capacito en este tema, con el proveedor, ya no labora en la misma. Adicionalmente el jefe de Help
Desk indica que los equipos e infraestructura no poseen manuales que puedan entender los técnicos, por lo que se genera demoras en la
atención a los usuarios de las distintas áreas estratégicas de la empresa, a pesar que este servicio está contemplado en el plan de continuidad
de la compañía.
1. ¿Cuál es el inconveniente que se presenta y que está en contraposición de lo solicitado por la norma?
El inconveniente que se presenta es que a pesar que está contemplado en el plan de continuidad de la empresa el servicio de atención al
usuario en lo referente a TI, resulta ser que dentro de la información de origen externo, no existen manuales de los equipos e infraestructura en
el idioma que pueda ser entendido por los técnicos, ya que toda la información relacionada con la infraestructura TI, se encuentra en el idioma
Mandarín, por lo que imposibilita el acceso a dicha información y la única persona que fue capacitada en el tema por el proveedor ya no labora
en la empresa, por lo que se ha generado demora en el servicio de atención al usuario en las distintas áreas estratégicas de la empresa.
Si bien la empresa contempla lo establecido por la Norma ISO 27001:2013, en su Numeral 7.5.1. Generalidades referido a que “El sistema de
gestión de la seguridad de la organización debe incluir: b) toda la información documentada que la organización ha determinado que es
necesaria para la eficacia del sistema de gestión de la seguridad de la información”; La empresa no contempló lo establecido en el Numeral
7.5.2. Creación y actualización, que establece que “Cuando se crea y actualiza información documentada, la organización debe asegurarse
de que lo siguiente sea apropiado: b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por
ejemplo, papel, electrónico) y c) la revisión y aprobación con respecto a la idoneidad y adecuación”.
Por otro lado, en cuanto al acceso de la información el Numeral 7.5.3 Control de la información documentada, contempla igualmente que “la
información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para
asegurarse que: a) esté disponible y adecuada para su uso, donde y cuando se necesite”; adicionalmente establece en el Numeral 7.5.3.
que “La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación
del sistema de gestión de la seguridad de la información, se debe identificar y controlar según sea adecuado.
Y por último se evidencia en cuanto al anexo A de la norma; fallas en cuanto al dominio A17 Gestión de la Continuidad del Negocio
específicamente en el Control A17.1.3. donde se verifica que no se han probado ni verificado las acciones previstas en el plan de continuidad
del negocio.
2. Realice las Notas de Campo respectivas y documente el caso según formato anexo:
1.- ¿En el formato NDC se debe explicar la NCF en el espacio NOTAS DEL AUDITOR y en el espacio de NFC simplemente se registra solo el número
de formato de NCF evidenciada? o se explica la NCF en dicho espacio?
2.- La auditoría de certificación de la ISO27001:2013 se basa en los requisitos de la Norma específicamente o para la auditoría establecemos la
inspección en función de los dominios y controles del anexo A? ¿o ambos?; ¿Y de ser ambos cual se registra en los diferentes formatos a
desarrollar en la auditoría?
3.- ¿Los requisitos se deben describir en cada espacio del formato en forma individual o se pueden agrupar para la formulación de preguntas de la
siguiente manera por ejemplo? Y segunda si se indica primero el requisito y después la norma al cual está referido ejemplo: 7.5.3. a) Norma
ISO27001:2013?
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
7.5.3. a)
7.5.3. b)
7.5.3. c)
O de esta manera
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
ISO 27001:2013
7.5.3. a)
ISO 27001:2013
7.5.3. b)