Directrices Generales para la obtención y uso de la certificación ISO Sistemas de Gestión de Seguridad de la información

Transcripción

1 Fondo para la Normalización Y Certificación de la Calidad Directrices Generales para la obtención y uso de la certificación ISO Sistemas de Gestión de Seguridad de la información

2 PRÓLOGO El presente documento contiene las directrices generales para la obtención y uso de la Certificación de Sistemas de Gestión de Seguridad de la Información y ha sido aprobado por la Dirección General. Caracas, Octubre de 2006 Rev Julio 2014

3 INDICE DE CONTENIDO Página INTRODUCCIÓN 2 OBJETO 3 CERTIFICACION DE SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION 3 TIPO DE CERTIFICACIÓN 3 SUSTENTO PARA OTORGAR LA CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 3 OPORTUNIDADES DERIVADAS DE LA IMPLEMENTACIÓN / CERTIFICACIÓN DE LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 4 PROCEDIMIENTO DE OBTENCIÓN 4 CONTRATO DE SERVICIO DE CERTIFICACION PARA FORMAR PARTE DEL REGISTRO DEL SISTEMA PARA LA CERTIFICACIÓN DE FIRMAS CON CAPACIDAD EVALUADA : TARIFAS POR CONCEPTO DEL SERVICIO DE CERTIFICACIÓN DISPUTAS APELACIONES DE LS DECISIONES DE FONDONORMA MANEJO DE QUEJAS POR EL SERVICIO OFRECIDO ANEXOS

4 2 INTRODUCCIÓN Actualmente los valores intelectuales y data estratégica de las empresas están en una mayor proporción en soporte electrónico, el resto en papel u otros medios, lo que también ha creado una vulnerabilidad en el acceso de datos de importancia para la organización. La clonaciones son otro problema relacionado con las vulnerabilidades de los sistemas de información. Los ataques a los sistemas de información representan billones de dólares a nivel mundial. La presencia en el entorno de hackers complican aún más la situación, sobre todo en las transacciones comerciales electrónicas. En el mercado pueden haber líneas no seguras para éste tipo de transacciones sin que el cliente o usuario conozca de los riesgos en su utilización, cuando maneja o suministra información a las mismas. Posiblemente existan empresas que no han identificado ni tasado los activos de información que poseen, ni tampoco hayan adoptado los controles adecuados para su protección contra los riesgos a los que están sometidos, habiendo información que para la competencia estaría incluso dispuesta a pagar por el acceso a la misma. Las amenazas sobre los activos de información, pueden ser internos o externos, por lo que las organizaciones deben desarrollar mecanismos que permitan darle confianza y a sus usuarios en cuanto a la disponibilidad, integridad y confidencialidad en el manejo de la información de la empresa y la suya propia, cuando se realizan interacciones de algún tipo entre la empresa y la data propiedad del cliente. El estándar internacional ISO 27001:2005 establece un modelo de Sistema de Gestión de la Seguridad de la Información (SGSI) para ser auditable y certificable. Establece 11 cláusulas de control y propone 39 objetivos de control que abarcan 133 controles específicos.

5 3 1. OBJETO 1.1 El presente documento informativo establece las condiciones que rigen para la obtención, uso, mantenimiento, publicidad y cancelación de la Certificación de Sistemas de Gestión de Seguridad de la Información, que otorga FONDONORMA. 2. CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN La Certificación de Sistemas de Gestión de seguridad de la Información de Empresas es una modalidad de certificación otorgada por FONDONORMA, que surge con el propósito de demostrar la capacidad para proporcionar confianza a los requerimientos comerciales, de la misma organización y los reglamentarios que aplican, así como del compromiso de la organización de mejorar el Sistema. Esta certificación (Modelo de Certificación ISO Nº 6) permite declarar la conformidad del Sistema de Gestión de la Seguridad de la Información de una empresa - productora de bienes y/o servicios - con respecto a los requisitos establecidos en las Norma ISO 27001:2005. De esta manera, pueden ser certificadas en base a una serie concreta de criterios con miras a fortalecer el grado de confianza en cuanto a la protección o preservación de la información. La referencia a éste tipo de certificación podrá utilizarse en la documentación comercial de la empresa (cartas, catálogos, folletos, etc.). así como en las páginas electrónicas o de internet que maneje la organización que ha implantado el sistema de gestión mencionado 3. TIPO DE CERTIFICACIÓN 3.1 La certificación utiliza como norma de evaluación la ISO 27001:2005 Sistemas de Gestión de Seguridad de la Información Requisitos. Esta norma internacional especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentado y dentro del contexto de los riesgos comerciales generales de la organización. Específica los requerimientos para la implementación de controles de seguridad personalizados para las necesidades de las organizaciones individuales o partes de ella. 4. SUSTENTO PARA OTORGAR LA CERTIFICACION DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. FONDONORMA forma parte de la Red Internacional de Certificadores IQnet, siendo avaladas sus certificaciones por todos sus entes miembros.

6 4 5. OPORTUNIDADES DERIVADAS DE LA IMPLEMENTACION / CERTIFICACION DE LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. - Mejorar los procesos del Sistema de información de la empresa, aumentando así su eficacia. - Fortalecer el grado de confianza en las relaciones comerciales y demás partes interesadas - Servir de apoyo a la empresa para consolidar su posición en el mercado de las transacciones comerciales electrónicas - Poseer un aval de su capacidad y compromiso en el manejo de la información. 6. PROCEDIMIENTO DE OBTENCIÓN 6.1 La Firma que desee obtener la certificación deberá entregar los recaudos indicados en la Planilla de Solicitud (ver formato No 6). 6.2 Los recaudos correspondientes serán recibidos en la Gerencia de Mercadeo y Ventas de FONDONORMA. 6.3 Posteriormente la Gerencia de Certificación de Sistemas analizará los recaudos y asignará el personal técnico encargado para la realización del estudio de Certificación del Sistema. Este último efectuará una revisión documental sobre el Manual y/o documentos del Sistema de Gestión presentado. 6.4 Se realiza una pre-auditoría o visita preliminar a la empresa. En ésta se elabora el plan/programa de auditoría al Sistema (SGSI). 6.5 La Gerencia de Certificación de Sistemas efectúa una auditoría del Sistema (SGSI). La empresa solicitante del certificado debe proponer e introducir acciones correctivas en las áreas que presentaron No Conformidades, como resultado de la misma. 6.6 Se efectúa una auditoría de seguimiento a las acciones correctivas realizadas y se verifica la efectividad de las mismas. 6.7 Si los resultados correspondientes de las auditorías realizadas satisfacen los requerimientos exigidos por el ente registrador/certificador, se establecerá por escrito el documento "Condiciones Particulares de Autorización" que regirá los lineamientos por los cuales se otorgará la Certificación del Sistema.

7 5 6.8 Una vez cumplidos los siguientes aspectos: - El Sistema (SGSI), cumple con los requisitos establecidos en la norma internacional seleccionada, en vigencia, y demás requisitos que de forma pública pudiera indicar el ente certificador. - El documento "Condiciones Particulares de Autorización" está elaborado por la Gerencia de Certificación de Sistemas. - La empresa ha hecho efectivo el pago por conceptos de estudio y de cuota anual del certificado a otorgar. Se procederá a otorgar al solicitante la Certificación de Sistemas de Gestión de Seguridad de la Información. (VER FORMATO 1 Ingreso al programa de certificación ISO 27001:2005 ) 7. CONTRATO DE SERVICIO DE CERTIFICACION PARA FORMAR PARTE DEL REGISTRO DEL SISTEMA PARA LA CERTIFICACIÓN DE FIRMAS CON CAPACIDAD EVALUADA La empresa solicitante de dicha autorización deberá firmar un documento contractual con FONDONORMA. A continuación se indican las cláusulas del Documento ya citado.

8 CONTRATO DE SERVICIO DE CERTIFICACIÓN Fondonorma (Modelo de Sistema de Certificación Nº 6, según Guía ISO/IEC 67) Contrato Nº Entre la Asociación Civil sin fines de lucro Fondo para la Normalización y Certificación de la Calidad (FONDONORMA), inscrita en la Oficina de Registro Inmobiliario del Tercer Circuito del Municipio Libertador del Distrito Capital, en fecha 27 de septiembre de 1973, bajo el N 20, tomo 23, protocolo primero, quien en adelante y a los efectos de este contrato se denominará FONDONORMA, representada en este acto por su Directora General Lic. Lourdes de Pescoso, quien actúa debidamente autorizada para este acto, según se desprende del Artículo 33.2, de los Estatutos De esta Asociación en concordancia con el Acta de la XXXVI Asamblea Anual Ordinaria de FONDONORMA de fecha 11 de junio de 2009, de su Consejo Directivo, y por la otra la Sociedad Mercantil <<identificación, Denominación, datos de registro>>, quien en adelante y a los efectos de este contrato se denominará LICENCIATARIA representada en este acto por <<REPRESENTANTE (CARGO)>>, quien actúa debidamente autorizado (a) para este acto, según se desprende de (carta poder)/ (disposición estatutaria correspondiente), se celebra, como en efecto se hace mediante el presente documento, el Contrato contenido en las Cláusulas siguientes: Cláusula Primera: De la licencia concedida por el Certificado. FONDONORMA concede a la LICENCIATARIA el Certificado del Sistema de Gestión cuyo alcance esta descrito en el documento que en lo sucesivo será denominado CERTIFICADO, que la citada empresa establecerá en él las plaza (s) o centro(s) de actividad(es) que se detalla(n) en el mismo CERTIFICADO, según los requisitos especificados en la norma de referencia citada, así como el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN (año 2013) correspondiente. Cláusula Segunda: De la Indivisibilidad entre el Contrato y el Certificado. El presente Contrato forma parte integral e indivisible de los documentos de la Certificación que en él se establecen, por parte de la LICENCIATARIA. Cláusula Tercera: De la propiedad del Certificado FONDONORMA entregará a la LICENCIATARIA el CERTIFICADO como aval de la certificación de su sistema de gestión y como parte integral de los documentos entregados por los servicios de certificación contratados, y mientras se mantenga en vigencia la relación contractual con FONDONORMA. En ningún caso se considerará que el CERTIFICADO pertenece a la LICENCIATARIA, por lo que será devuelto a FONDONORMA en caso de una culminación anticipada del presente CONTRATO.

9 Cláusula Cuarta: De la condición esencial para establecer y mantener la relación contractual FONDONORMA declara formalmente que no ha prestado en los últimos dos años servicios de consultoría a la LICENCIATARIA, ni los prestará en el lapso de vigencia de este contrato, ni en los dos años previos a su posible nueva celebración y, de igual manera LA LICENCIATARIA declara no haber solicitado ni recibidos dichos servicios en ese lapso. El incumplimiento de esta estipulación por cualquiera de las partes será causal de resolución de pleno derecho y causal de responsabilidad de la Parte que la infrinja. Cláusula Quinta. Deberes, derechos y obligaciones de la LICENCIATARIA La LICENCIATARIA tendrá derecho a hacer uso de la Certificación obtenida, en los términos establecidos en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN de FONDONORMA, el cual declara conocer, y exclusivamente en el lapso de vigencia del Contrato. La LICENCIATARIA se obliga a mantener permanentemente un sistema de gestión según los requisitos especificados en la norma referenciada, para las actividades y las plazas, sucursales o centros de actividad indicados en el correspondiente CERTIFICADO y a respetar, en todo momento, el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN en su última revisión aprobada, del que obra en su poder un ejemplar; y se obliga a considerar las modificaciones que al mencionado Reglamento le sean realizadas por FONDONORMA, quien informará oportunamente conforme la revisión vigente. La LICENCIATARIA se obliga a comunicar de modo fehaciente y por escrito a FONDONORMA, en un plazo máximo de quince días hábiles desde su ocurrencia, el cese temporal o definitivo de cualquiera de las actividades indicadas en el CERTIFICADO. La LICENCIATARIA no podrá ceder o traspasar el certificado bajo ninguna circunstancia o condición el CERTIFICADO a ninguna otra empresa o centros de actividad distintos a los indicados en la Cláusula Primera. La LICENCIATARIA declarará que está certificada sólo con respecto al alcance de sistema de gestión para el cual se le ha otorgado la certificación, y en las instalaciones nacionales o foráneas detalladas en el CERTIFICADO entregado por FONDONORMA. La LICENCIATARIA asegura conocer y cumplir aquellas leyes y regulaciones que estén dirigidas hacia las actividades de la empresa y su sistema de gestión. La Acreditación de Fondonorma o cualquiera de los informes o certificados que emita Fondonorma en el marco de esta certificación, en el caso de Sencamer no constituye aprobación alguna por parte de esa organización sobre el producto del cliente certificado. Esta condición aplica asimismo con relación a las demás acreditaciones que posee Fondonorma. Cláusula Sexta: Deberes, derechos y obligaciones de FONDONORMA

10 FONDONORMA brindará sus servicios de certificación sin ningún tipo de discriminación, considerando los principios de independencia, imparcialidad, integridad, transparencia y confidencialidad. FONDONORMA entregará a la LICENCIATARIA un certificado que contenga los datos del sistema de gestión certificado y su validez. FONDONORMA entregará a la LICENCIATARIA el programa de auditorías de certificación correspondiente al ciclo establecido en el presente contrato de certificación, detallado en el CERTIFICADO. FONDONORMA vigilará el sistema de gestión certificado a través de las auditorias y visitas extraordinarias y elaborará informes de las mismas. Cláusula Séptima: Del acceso de Auditores, expertos y observadores. La LICENCIATARIA se obliga a permitir el acceso a sus instalaciones de los auditores, expertos técnicos, representantes de entes acreditadores o auditores en formación autorizados por FONDONORMA, y deberá proporcionarles la información, los documentos y registros relacionados con el sistema de gestión que sean necesarios para la auditoria de seguimiento o auditoría de renovación de la certificación. Cláusula Octava: De la Publicidad FONDONORMA podrá dar publicidad sobre la concesión de la certificación otorgada a la LICENCIATARIA y, en su caso, de su suspensión o cancelación. La LICENCIATARIA podrá hacer referencia de su CERTIFICADO en los medios de comunicación, tales como, documentos, folletos, anuncios, internet o algún otro, siempre y cuando no incumpla con los lineamientos sobre publicidad y el uso del logo establecido por FONDONORMA, incluidos en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN. Cláusula Novena: De la Información oportuna sobre cambios LA LICENCIATARIA notificará por escrito FONDONORMA dentro de los 15 días hábiles siguientes posteriores a su ocurrencia, cualquier cambio relacionado con: La condición legal, comercial, de propiedad u organizacional de la LICENCIATARIA, así como su domicilio; Cambio de instalaciones, cambio de ramo u otros recursos, cuando sean significativos; Cláusula Décima: De la Modificación de los requisitos de Certificación del Sistema de Gestión. En los casos de modificaciones de las Normas Internacionales correspondientes al sistema de Gestión con el cual certificó FONDONORMA; este último deberá;

11 Informar inmediatamente a la LICENCIATARIA, mediante carta u otro medio equivalente. Fijar una fecha en la que entrarán en vigencia los nuevos requisitos. Considerando un periodo tiempo que permita a la LICENCIATARIA reformar su Sistema de Gestión certificado Si la LICENCIATARIA informara a FONDONORMA que no está preparada para aceptar la modificación dentro del plazo especificado en el párrafo b), o si permitiera que el plazo para la aceptación prescribiera, la certificación de su Sistema de Gestión dejará de ser válida a partir de la fecha en que la especificación modificada sea definitivamente aplicada por FONDONORMA, salvo que éste decidiera otra cosa. Cláusula Décima primera: Sobre la Confidencialidad de la información Excepto si es requerido legalmente, la LICENCIATARIA y FONDONORMA tratarán como estrictamente confidencial, y no comunicarán a terceros sin la previa autorización escrita de la otra parte, cuantos documentos o informaciones lleguen a su poder, o al de sus empleados, agentes u otros en virtud del contrato que los une. Cláusula Décima segunda: De la Vigilancia, Programa de auditorías y visitas extraordinarias FONDONORMA ejercerá una vigilancia continua del cumplimiento de la LICENCIATARIA con sus obligaciones. Esta vigilancia será realizada por el personal asignado por FONDONORMA con base en sus procedimientos. Los aspectos asociados a esta Cláusula se encuentran detallados en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN, los cuales forman parte de este CONTRATO. Cláusula Décima tercera: De la Renovación de la certificación La programación y ejecución de la auditoria de renovación y la evaluación de sus resultados se realizará antes de expirar el ciclo de certificación indicado en el CERTIFICADO, con el fin de decidir sobre la renovación del sistema de gestión. La auditoria de renovación y sus resultados, deberán resolverse satisfactoriamente antes de la fecha de vencimiento de la certificación. Una vez vencido el contrato y no resuelta satisfactoriamente alguna no conformidad identificada, se procederá a cancelar la certificación. La auditoria de renovación deberá realizarse según el Programa de Auditoria entregado y conocido por la LICENCIATARIA y deberá cumplir con lo indicado en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN. Cláusula Décima cuarta: Sobre Vigencia del acuerdo El presente CONTRATO entra en vigencia a partir de la decisión de otorgar la certificación y permanecerá vigente durante todo el ciclo de certificación y se renovará automáticamente mientras se renueve la certificación con FONDONORMA, siempre y cuando no sea revocado por razones justificadas o cancelado por cualquiera de las partes, tras la debida notificación a la otra parte, tal como se indica en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

12 Cláusula Décima quinta: Sobre la Cancelación de la Certificación FONDONORMA cancelará a la LICENCIATARIA la Certificación del Sistema de Gestión en los siguientes supuestos: a) Por incumplimiento con los requisitos de la norma vigente con la cual se certifica y/o de aquellos requisitos que hubiese señalado el ente certificador. La imposibilidad de realizar las visitas requeridas por FONDONORMA, por causa de la LICENCIATARIA. La LICENCIATARIA no permita la ejecución de una auditoria al sistema de gestión certificado en presencia del ente acreditador de FONDONORMA cuando éste así lo requiera. Por haber transcurrido 18 meses desde la última auditoría y no se hubiese realizado en ese período la siguiente auditoria correspondiente, por causa de LA LICENCIATARIA. Por amenaza o riesgo al prestigio de FONDONORMA, en razón de actos o situaciones imputables a LA LICENCIATARIA. Por incurrir en algunas de las razones detalladas en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN Por cierre definitivo de las instalaciones. Una vez que a la LICENCIATARIA se le hubiese cancelado la certificación, ésta devolverá a FONDONORMA, los documentos que se le hubiesen entregado donde indicasen que se ha certificado su línea de producción, eliminando el uso de la bandera y el estampado de dicho logo donde se hubiese colocado, así como también de toda publicidad alusiva a dicha certificación. FONDONORMA puede hacer pública la notificación de la cancelación. Cláusula Décima sexta: Sobre Reclamación, Apelación y Litigio Ambas partes conviene que cualquier controversia, reclamación o diferencia que surja de, o se relacione con, el presente Contrato será resuelta en primera instancia conforme al procedimiento de Quejas y Apelaciones vigente en FONDONORMA. En caso de considerarse insuficiente por una de las partes esa instancia, la controversia, será resuelta mediante arbitraje de equidad en la ciudad de Caracas, Venezuela, en la sede que determine el Tribunal Arbitral, en idioma castellano, de conformidad con el Reglamento del centro Empresarial de Conciliación y de Arbitraje (CEDCA), por tres árbitros nombrados conforme a ese Reglamento. Los árbitros podrán dictar medidas cautelares, inclusive antes de que quede constituido el Tribunal Arbitral que conocerá el fondo de la controversia. El laudo arbitral será motivado, y será objeto de la discusión previa prevista en dicho reglamento. La citación para la contestación de la demanda de arbitraje se realizará en FONDONORMA y la contraparte, la LICENCIATARIA, en la dirección de la parte demandada en este contrato. Cláusula Décima séptima: Sobre Suspensión, retirada o cancelación del certificado.

13 FONDONORMA, podrá tomar la decisión de suspensión y/o cancelación de la certificación por alguna de las causales contenidas en el REGLAMENTO TÉCNICO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN, que se da aquí por conocido y forma parte integral de este contrato. Cláusula Décima octava: Sobre los Pagos a FONDONORMA El CERTIFICADO u otro documento asociado a la certificación requerido por la LICENCIATARIA nunca serán emitidos si existieran facturas debidas a FONDONORMA. FONDONORMA se reserva el derecho de suspender o cancelar la certificación otorgada en caso de que la LICENCIATARIA incurra en incumplimiento de los compromisos de pago adquiridos. Cláusula Décima novena: Sobre Facturación FONDONORMA realizará la facturación de los servicios de certificación según los pagos acordados en la OFERTA DE SERVICIOS DE CERTIFICACIÓN, sin menoscabo de la realización de la auditoria programada para ese año y mientras el CERTIFICADO permanezca en vigencia. Las facturas serán emitidas y serán abonadas a los treinta días de la fecha de su emisión Cláusula Vigésima: Condiciones de pago El pago de los servicios de certificación se realizará según las condiciones establecidas en la OFERTA DE SERVICIOS DE CERTIFICACIÓN. Cláusula Vigésima primera: Sobre los impuestos El IVA aplicable no se encuentra incluido en el monto indicado en la OFERTA DE SERVICIOS DE CERTIFICACIÓN, el cual será cargado al momento de la facturación. Cláusula Vigésima segunda: Actualización de precios La OFERTA y el CONTRATO consiguiente se han establecido con los datos facilitados por el cliente previamente y que figuran recogidos en el documento de OFERTA DE SERVICIOS DE CERTIFICACIÓN. FONDONORMA se reserva el derecho a exigirlos con la modificación que proceda si se demostrase que estos datos no son veraces. Cualquier servicio ajeno al especificado en su contrato, será facturado de acuerdo a las tarifas vigentes en FONDONORMA, que LA LICENCIATARIA declara conocer. FONDONORMA se reserva el derecho de revisar anualmente los precios convenidos en contrato si el incremento del índice del coste de la vida o de inflación generase un impacto considerable en la estimación del valor establecido en este CONTRATO. Cláusula Vigésima tercera: Sobre la responsabilidad de FONDONORMA La LICENCIATARIA reconoce que el organismo de certificación FONDONORMA está exento de responsabilidades en cuanto al desempeño del sistema de gestión de la LICENCIATARIA empresa que ha sido certificada bajo la norma de gestión indicada en

14 el presente contrato. FONDONORMA no se hará responsable de los incumplimientos de la legislación vigente derivados de las actividades de la empresa certificada. Cláusula Vigésima cuarta: Sobre Gastos de estancia y desplazamiento Los gastos de estancia, desplazamiento y manutención de los auditores para realizar las visitas programadas y extraordinarias no se encuentran incluidos en precio acordado en este CONTRATO y serán pagados por la LICENCIATARIA en cada caso. Cláusula Vigésima quinta: Direcciones de Notificación Se establecen las siguiente direcciones de notificación: FONDONORMA: Av. Libertador, Multicentro Empresarial del Este, Edificio Libertador, Núcleo A, Piso 1, Chacao, Caracas, Venezuela, LICENCIATARIA: XXX Caracas, Por FONDONORMA Lic. Lourdes de Pescoso Directora General Por la LICENCIATARIA Nombre y apellido Cargo 8. TARIFAS POR CONCEPTO DEL SERVICIO DE LA CERTIFICACIÓN Para mayor información consultar a la Gerencia de Mercadeo y Ventas de FONDONORMA o a través del atencionalcliente@fondonorma.org.ve. 9. DISPUTAS El cliente que considere o tenga alguna discrepancia con relación a un acta o informe generado por la Gerencia de Certificación de Sistemas durante el estudio o supervisión de la Certificación, podrá enviar dentro de los 10 días siguientes al recibo de la notificación técnica de FONDONORMA, una comunicación por escrito dirigida a la Gerencia de Certificación de Sistemas, señalando la discrepancia, la cual será analizada por FONDONORMA. Una vez realizado el análisis, se notificará al cliente las observaciones que tengan a bien generarse sobre la misma, en una reunión establecida para tal fin. Si el cliente no está de acuerdo con la decisión tomada, podrá tramitar su desacuerdo bajo la condición de apelación.

15 10. APELACIONES DE LAS DECISIONES DE FONDONORMA Si el cliente no está de acuerdo con alguna decisión técnica emitida por FONDONORMA, en lo relativo al Sistema en estudio de Certificación o ya certificado y habiendo cumplido con el punto anterior (Disputas), el cliente puede apelar a la misma por escrito dentro de los 15 días siguientes al recibo de la notificación de FONDONORMA. Una vez recibida dicha comunicación se le enviará respuesta de recepción de la misma y se le notificará el haber tramitado la apelación a la nueva instancia que corresponda y que se encargará de la misma, ésta última instancia será la que posteriormente de respuesta analizado el caso y la decisión correspondiente. 11. MANEJO DE QUEJAS POR EL SERVICIO OFRECIDO FONDONORMA lleva un registro de quejas por el servicio ofrecido a fin de utilizarlo como elemento de revisión de su propio Sistema de Calidad. El beneficiario de la Certificación deberá formalizar por escrito la queja ante la Gerencia de Certificación de Sistemas, la cual FONDONORMA registrará y realizará una investigación sobre la misma, convocando al responsable de su formalización en un plazo no mayor de 15 días hábiles contados a partir de la fecha de la recepción de ésta, para informarle si es procedente y las acciones correctivas tomadas a fin de solucionar el problema que dio origen a la misma.

16 14 ANEXOS FORMATO :2005. INGRESO AL PROGRAMA DE CERTIFICACIÓN ISO FORMATO 3 DOCUMENTO GUÍA O DOCUMENTOS SOBRE EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN REQUERIDO PARA INCLUIR CON LA PLANILLA DE SOLICITUD. FORMATO 4 MODELO DE DECLARACIÓN DE CONFORMIDAD DEL SISTEMA DE INFORMACION. FORMATO 5 MODELO DE ACEPTACIÓN DEL CLIENTE A LAS DISPOSICIONES Y LINEAMIENTOS DEL ENTE CERTIFICADOR. FORMATO 6 PLANILLA DE SOLICITUD DE LA CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.

17 ANEXO 3 DOCUMENTO GUÍA O DOCUMENTOS SOBRE EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN REQUERIDO PARA INCLUIR CON LA PLANILLA DE SOLICITUD. Considerando la necesidad previa a la realización de la auditoria del Sistema de Seguridad de la Información), de poder llevar a cabo la revisión documental preliminar, el solicitante de la certificación ISO deberá entregar acompañado de la planilla de solicitud la documentación BAJO CUALQUIERA DE LAS DOS (2) OPCIONES INDICADAS A CONTINUACIÓN: OPCION 1: Un documento guía que describa los elementos fundamentales del Sistema de Gestión de Seguridad de la Información y su interacción, con el nivel de detalle suficiente que permita orientar sobre el mismo y explique o refiera donde obtener información más detallada de las partes específicas de dicho sistema. OPCION 2: Procedimientos individuales, los cuales pueden estar integrados con la documentación de otros sistemas implementados por la organización. A continuación se indican el o los documentos contentivos de la información requerida para su revisión documental preliminar:

18 Documento (s) correspondiente (s) a elementos o cláusulas del Sistema de Gestión de Seguridad de la Información SGSI) elaborado bajo por lo menos los requisitos o deberes expresados en las cláusulas de la Norma Internacional ISO OPCION 1 OPCION 2 DOCUMENTO GUIA A CONSIGNAR CON SOLICITUD Y REFIERA A : Ejemplo Cláusula Documento o Procedimientos a consignar con solicitud Descripción del negocio de la empresa (características, organización, ubicación, tecnología, productos y servicios, otros) 4.2,1.a Alcance y límites del SGSI, exclusiones Alcance y límites del SGSI, exclusiones Enunciado de Política del SGSI, y de Objetivos y Enunciados de Política del SGSI y de Objetivos del SGSI Enunciado de Aplicabilidad J Enunciado de Aplicabilidad Requerimientos legales, reguladores, comerciales y obligaciones contractuales a cumplir dentro del SGSI Lista maestra de normas y procedimientos del SGSI C Identificación de requerimientos legales, reguladores y contractuales a cumplir dentro del SGSI Lista maestra de normas y procedimientos del SGSI.. Organigrama general Organigrama relacionado con el SGSI Organigrama general Organigrama relacionado con el SGSI

19 Descripción de metodología de evaluación del riesgo (Cálculo de riesgos, requerimientos de seguridad, legales y reguladores de la información comercial Criterios de aceptación de riesgos e identificación de niveles de riesgo aceptable 4.2,1.c 4.2,1.c Descripción de metodología de evaluación del riesgo (Cálculo de riesgos, requerimientos de seguridad, legales y reguladores de la información comercial Criterios de aceptación de riesgos e identificación de niveles de riesgo aceptable Identificación, análisis y evaluación de riesgos Tratamiento de riesgos Selección de objetivos de control y controles (puede considerarse el Anexo de la 27001) Implementación y operación del SGSI : Plan del Tratamiento de riesgos d y e f * g (ver Nota 2 ) Medición de efectividad de controles seleccionados d y C Descripción sobre la medición de efectividad de controles seleccionados Detección de y respuesta a h incidentes de seguridad Monitoreo y revisión del SGSI Mantenimiento y mejora del SGSI Documentación del SGSI y su control y Procedimiento control de documentos Control de registros Compromiso de la Gerencia Provisión de recursos Procedimiento sobre el control de registros

20 Definición de roles, responsabilidades y autoridades relativas al sistema SGSI. como opcional : matriz de responsabilidades en materia de Seguridad de la información Capacitación, Conocimiento y Capacidad Auditorias Internas del SGSI 6. Revisión Gerencial 7 Mejoramiento del SGSI Acciones correctivas y preventivas. 8 Procedimiento para acciones correctivas y preventivas. Definiciones Nota1: Pudiesen incluirse otros aspectos necesarios por la organización para asegurar la planeación, operación y control de sus procesos de Seguridad de la información NOTA 2 : En cuanto al punto G Selección de Objetivos de control y controles establecido por la Norma ISO 27001, la práctica común establece como obligatorios de forma general : Política de Seguridad (A.5.1.1), Asignación de responsabilidades (A.6.1.3), Conocimiento, Educación y Capacitación (A.8.2.2), Procesamiento Correcto en las Aplicaciones (A ), Gestión de vulnerabilidad técnica (A ), Gestión de Incidentes y Mejoras (A ), Gestión de Continuidad Comercial (A ), Derechos de propiedad Intelectual (A ), Protección de los registros organizacionales (A ), Protección data y privacidad de información personal (A ), otros necesarios a las particularidades de la empresa..

21 ANEXO 5 MODELO DE ACEPTACIÓN DEL CLIENTE A LAS DISPOSICIONES Y LINEAMIENTOS DEL ENTE CERTIFICADOR FCI2-4 Caracas, Yo, C.I., en mi carácter de representante de la empresa, la cual ha solicitado al Fondo para la Normalización y Certificación de la Calidad (FONDONORMA) el otorgamiento del Certificado: Marca FONDONORMA Servicios ISO 9001 ISO OHSAS ISO ISO ISO SR-10 SG Responsabilidad Social En el producto (para Marca F): Para todos los procesos de la empresa /planta ( OHSAS 18001, ISO 14001, ISO 50001) En la línea de producción / servicios / Procesos (ISO: 9001, 22000, 27001) En Sistema de Gestión de la Responsabilidad Social SR-10 Declaro la disposición de la empresa bajo mi representación a cumplir los lineamientos y procedimientos del cuerpo certificador en cuestión; para la consecución del otorgamiento del Certificado solicitado. Asimismo, facilitar al personal asignado por FONDONORMA para llevar a cabo el estudio de dicha solicitud, su acceso a nuestras instalaciones y el realizar la revisión documental correspondiente al sistema de gestión con el alcance de la certificación solicitada; así como de la evaluación de nuestros productos cuando fuese requerida. NOMBRE: CARGO EN LA EMPRESA: Firma de la empresa solicitante del Certificado Sello

22 ANEXO 6 RESERVADO PARA FONDONORMA 1. NOMBRE COMERCIAL (Registered name) Planilla de solicitud del Certificado de Sistemas 2. PERSONA A CONTACTAR - CARGO (Contact person-position) Entre Av. Libertador y Av. Francisco de Miranda. Chacao. Multicentro Empresarial del Este, Edif. Libertador, Núcleo A. piso 1.CARACAS, VENEZUELA TELF. (0212) Fax: (0212) FECHA (Date) SOLICITANTE (APPLICANT) 4. DIRECCIÓN (Address) 5. TELÉFONO (Telephone) (Celular) 6. FAX CERTIFICACIÓN (CERTIFICATION) LÍNEA DE PRODUCCIÓN O SERVICIO (PRODUCTION LINE OR SERVICE) 7. NIVEL DE CERTIFICACIÓN SOLICITADO (Certification model requested) ISO 9001:2008 Sistemas de Gestión de la Calidad _ Requerimientos (Quality Management Systems Requirements). ISO 14001:2004 Sistemas de Gestión Ambiental Especificación con Guía para su uso (Enviromental Management System Specification with guidance for use) OHSAS 18001:2007 Sistemas de Gestión de Seguridad y Salud Ocupacional Especificación (Occupational Health and Safety Management System Specification) ISO 27001:2005 Sistemas de Gestión deseguridad de la Información _ Requerimientos (Information Security Management System-Requirements) ISO 22000:2005 Sistemas de Gestión de Inocuidad de los Alimentos - Requisitos (Food Safety Management Systems - Requirements) 8. LÍNEAS DE PRODUCCIÓN /PROCESOS O SERVICIOS A CERTIFICAR (Lines of product/process or services to be registered) 9. FECHA DE INICIO DE IMPLANTACIÓN DEL SISTEMA (Date of implementation of system) 10. FECHA EN QUE SE APROBÓ INTERNAMENTE EL SISTEMA PROPUESTO (Date of internal approval of the proposed system) Documentación que debe acompañar la presente solicitud (Required documentation) Autorización para actuar en nombre de la empresa (Authorization to act on behalf of the company) Copia fotostática de la inscripción de la empresa en el Registro Mercantil (Photocopy of the company official commercial registration) Cuestionario A (ISO 9001, 14001, 22000,27001, y OHSAS 18001). (Questionnaire A (ISO 9001,14001, 22000, 27001, y OHSAS 18001). Cuestionario Preliminar SGA / SGIA( ISO 14001, ISO 22000) (Preliminary Questionnaire (ISO 14001, ISO 22000, 50001) Declaración de conformidad de Sistema de Gestión de la empresa firmada por la persona que auditó el sistema (sólo para la solicitud ISO 9001, ISO e ISO 22000). (Declaration of conformance of the management system of the company to the model requested in 7 above and signed by the audited the system) Manual de Gestión de: la Calidad / Inocuidad de los Alimentos (sólo para solicitud de certificación ISO 9001 e ISO 22000) (Quality Management manual, Food Safety Management manual) Documento guía del Sistema de Gestión o Procedimientos reseñados en las Directrices. (sólo para solicitud de Certificación ISO 14001, OHSAS o ISO 27001) (Guidelines of the Management System or procedures aplicable only to ISO or or ISO Certification) Declaración de aceptación del cliente a las disposiciones y lineamiento del ente certificador, firmada por la persona autorizada para actuar en nombre de la empresa (Todos los esquemas de certificación) (Declaration of acceptance by the suplier of the dispositions and requirements of the certification body, signed by the duly authorized representative of the company, ). personwho Lugar y fecha de la solicitud: (Place and Date of Application) Firma y sello de la empresa Nota 1: El proceso de estudio (auditoría) se realizará exclusivamente con la participación del representante de la dirección y/o del Gerente General y el (los) representante (s) del área auditada. Los consultores del Sistema del proveedor, en caso de estar presentes durante este proceso están limitados al papel de observadores. (The study and auditing process wil be carried out only in the presence of the management representative and/or the general manager and the representative(s) of the area being audited. System consultants to the suplier, if present during this process, are limited to the role of observers. Nota 2: Sólo serán procesadas aquellas solicitudes que presenten todos los recaudos solicitados. (Only aplications acompanied by all the requiered details will be processed).

23 FONDONORMA Cuestionario A (sólo para ISO 9001, 14001, 22000, 27001, y,ohsas 18001) (Questionnaire) 1. Capital social de la empresa en Bs. 2. La empresa forma parte de una organización más grande? Si No Si es Si, proporcione el nombre de dicha organización y anexe organigrama donde ello se evidencie 3. La empresa posee algún certificado o reconocimiento relacionado con la(s) línea(s) de producción o servicio que aspira(n) a ser certificada(s) bajo la presente solicitud? En caso afirmativo, indique cuál(es) 4. Indique algunos de los clientes principales de la empresa 5. La empresa exporta los productos o servicios indicados en el punto 8? Si No En caso afirmativo, indique a quién y a dónde: 6. Qué motivó a la empresa a contar con la certificación solicitada? 7.1 Ha solicitado la empresa los servicios de FONDONORMA en el pasado? Si No En caso afirmativo, indique cuándo y bajo qué concepto: 7.2 Ha recurrido a una consultora para la implantación o el mantenimiento del Sistema de Gestión? De ser afirmativo indique el nombre de la misma 7.3 Indicar y explicar sobre los procesos contratados externamente que de acuerdo a su desempeño pueden afectar la conformidad de los requisitos

24 FONDONORMA *8 sólo para ISO En cuanto al diseño del producto que provee Lo manufactura Lo provee (venta, distribuye) El diseño Propio Es provisto por la casa matriz Es adquirido y mantenido bajo una licencia La empresa ofrece el diseño de un producto pero apoyándose en un subcontratista o bajo un outsourcing Si No Si su respuesta es afirmativa, explique su participación y control en dicha actividad 8.1. Al último diseño del producto, cuándo se desarrollo o cuándo se le hizo la última modificación? 8.2. La empresa es responsable por el diseño: Si No Explique

25 FONDONORMA * 9 sólo para ISO 9001, 14001, 22000, 27001, y OHSAS Está la empresa constituida por varias plantas o unidades autónomas? (is the company constituted by several plants or autonomous units) Anexe la siguiente información según esquema propuesto a continuación: (attach the following details according to the proposed scheme) Planta de oficina central (plant) Nº total de empleados Nº de empleados en el Departament o de Producción (number of employees in the production department) Nº de empleados en el Depto de Control de la Calidad o Ambiente O Seguridad Industrial Nº de empleados en el Depto. De Diseño (number of employees in the desing dep.) Nº de empleados con función dominante similar Nº de empleados con actividades extralocal (Nómina) Nota 1: Empleados con función dominante similar, por ejemplo, obrero de ensamblaje en planta de producción en masa, conductores de montacarga en un centro de distribución. Nota 2: Empleados de actividad extralocal pero que sean de nómina, por ejemplo, vendedores, conductores, guardias de seguridad, reparación doméstica donde el cliente, enfermería doméstica Proporcione la siguiente información sobre la planta a certificar u oficina central (provide the following details with respect to the plant to be certified) Nombre (name) Dirección (address) Teléfono (phone) Fax (telefax) Presidente (President) Gerente General (General manager) Gte. de Aseguramiento de la Calidad (Quality assurance manager) Gte. De Mercadeo (Marketing manager) Nota: sólo serán procesadas aquellas solicitudes que presenten todos los recaudos solicitados. (only applications accompanied by all required details will be processed) 9.2.La empresa tiene actividades con más de un turno. Indique:

26 FONDONORMA * 10 sólo para ISO 9001, 14001, 22000, 27001, y OHSAS Utilizando los ejemplos contenidos en la tabla, conteste las siguientes preguntas: Organización con varias plazas (multiplazas) Con plazas temporales Con actividades Si No extralocal 1. Opera con franquicia X 2. Manufacturera con redes de oficinas de venta X 3. Aduanera y almacenamiento con redes en X diferentes localidades 4. Compañía con múltiples sucursales X 5. Empresa fragmentada en unidades o actividades X separadas (diseño, planta manufacturera, 1 taller de servicio) pero en diferentes localidades. 6. Construcción, proyectos X X 7. Actividades dentro de las mismas instalaciones del cliente o especificadas por éste, comprometidos en trabajos móviles como reparaciones donde el cliente, enfermería domésticas, guardias de seguridad, conductor de correos, visitas de venta. X X Organización multiplaza: Consta de una oficina central en la cual ciertas actividades son desempeñadas o manejadas en una red de oficinas locales o sucursales y las actividades son llevadas de forma completa o parcial y tienen una relación directa legal con la oficina central o bajo enlace contractual. Actividad extralocal: Ver nota 2 pregunta 9

27 FONDONORMA La planta u oficina central es una organización miltiplaza? Si No De ser su respuesta afirmativa, de cuántas plazas dispone sin considerar a la unidad u oficina central?. Nº de Plazas Posee plazas temporales? Si No Nº de plazas temporales De realizar trabajo extralocal, indique cuáles: De poseer plazas llenar el cuadro donde corresponde OC= Oficina Central

28 FONDONORMA Número de Plaza (x) Ciudad Sub-total o plazas temporales (x) Nº empleados (nómina) por plaza Nº empleados (nómina) con función dominante Nº empleados (nómina) con actividad extralocal Indique plazas con implantación de Sistemas ISO 9000 OC Nº total de Plazas NT= Nº total de plaza temporales Nº total Nº total Nº total Nº total