INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

Transcripción

1 1. INFORMACIÓN GENERAL 1.1. ORGANIZACIÓN Cámara Comercio l Oriente Antioqueño 1.2. SITIO WEB: LOCALIZACIÓN DEL SITIO PERMANENTE PRINCIPAL: Carrera 47 No. 64 A 263 Vía Belén Kilómetro 2 Vía Rionegro, Rionegro - Antioquia Colombia Si la certificación cubre más un sitio permanente don se realicen actividas l sistema gestión, indicar la localización cada uno. Dirección l sitio permanente (diferente al sitio principal) Localización (ciudad - país) Actividas l sistema gestión, sarrollados en este sitio, que estén cubiertas en el alcance Calle 20 No La Ceja, Antioquia - Colombia Todas las actividas l alcance. Carrera 31 No Guatapé, Antioquia - Colombia Todas las actividas l alcance. Calle 7 entre carreras 5 y 6, primer piso l palacio municipal. Sonsón, Antioquia - Colombia Todas las actividas l alcance ALCANCE DE LA CERTIFICACION: Prestación servicios para la gestión los registros públicos. Declaración aplicabilidad Versión Provision of services for the management of the public registrations. Statement Applicability Version 2.0 dated CÓDIGO IAF: [SI I1] 1.6. CATEGORIA DE ISO/TS 22003: No Aplica 1.7. REQUISITOS DE SISTEMA DE GESTION: ISO/IEC 27001: GERENTE O DIRECTOR DE LA ORGANIZACIÓN Nombre: Diana Gabriela Parra Quintero Cargo: Directora Planeación Estratégica y Gestión Organizacional Correo electrónico di.organizacional@ccoa.org.co ES-P-SG-02-F-025 Página 1 29

2 1.9. TIPO DE AUDITORIA: Seguimiento Renovación Ampliación Reducción Reactivación Extraordinaria Actualización X Inicial o Otorgamiento Aplica toma muestra por multisitio: Si X No 1. INFORMACIÓN GENERAL Auditoría combinada: Si X No Auditoría integrada: Si No X Tiempo auditoria FECHA Días ) Etapa 1 (Si aplica) Preparación la en sitio y elaboración l plan Auditoría en sitio al EQUIPO AUDITOR Auditor lír Auditor Experto Técnico Yobany Vargas Gordillo No Aplica No Aplica DATOS DEL CERTIFICADO DE SISTEMA DE GESTIÓN Código asignado por ICONTEC Fecha aprobación inicial Fecha próximo vencimiento: No Aplica No Aplica No Aplica 2. OBJETIVOS DE LA AUDITORIA ES-P-SG-02-F-025 Página 2 29

3 2.1. Determinar la conformidad l sistema gestión con los requisitos la norma sistema gestión Determinar la capacidad l sistema gestión para asegurar que la Organización cumple los requisitos legales, reglamentarios y contractuales aplicables en el alcance l sistema gestión y a la norma requisitos gestión 2.3. Determinar la eficacia l sistema gestión para asegurar que la Organización pue tener expectativas razonables con relación al cumplimiento los objetivos especificados Intificar áreas mejora potencial l sistema gestión. 3. ACTIVIDADES DESARROLLADAS 3.1. Los criterios la incluyen la norma requisitos sistema gestión, la información documentada l sistema gestión establecida por la organización para cumplir los requisitos la norma, otros requisitos aplicables que la organización suscriba y documentos origen externo aplicables El alcance la, las unidas organizacionales o procesos auditados se relacionan en el plan, que hace parte este informe La se realizó por toma muestra evincias las actividas y resultados la Organización y por ello tiene asociada la incertidumbre, por no ser posible verificar toda la información documentada Se verificó la capacidad cumplimiento los requisitos legales o reglamentarios aplicables en el 3. ACTIVIDADES DESARROLLADAS ES-P-SG-02-F-025 Página 3 29

4 alcance l sistema gestión, establecidos mediante su intificación, la planificación su cumplimiento, la implementación y la verificación por parte la Organización su cumplimiento El equipo auditor manejó la información suministrada por la Organización en forma confincial y la retornó a la Organización, en forma física o eliminó la entregada en otro medio, solicitada antes y durante el proceso Al haberse ejecutado la acuerdo con lo establecido en el plan, se cumplieron los objetivos ésta Se evinciaron las acciones tomadas por la Organización para solucionar las áreas preocupación, reportadas en el informe la Etapa 1? (Se aplica solo para s iniciales o otorgamiento): Si X No NA 3.8. Si se aplicó toma muestra múltiples sitios, indicar cuáles sitios permanentes se auditaron y en que fechas: Fecha Dirección l sitio Localización (ciudad país) Carrera 47 No. 64 A 263 Vía Belén Kilómetro 2 Vía Rionegro Rionegro - Antioquia Colombia Calle 20 No La Ceja, Antioquia - Colombia al Carrera 31 No Guatapé, Antioquia - Colombia En el caso l Sistema Gestión auditado están justificadas las exclusiones o requisitos no aplicables acor con lo requerido por el respectivo referencial? Si X No NA o A Teletrabajo: La Cámara Comercio l Oriente Antioqueño, no ha establecido el Teletrabajo como una modalidad valida, por lo que no aplica y no está implementada Se auditaron actividas en sitios temporales o fuera l sitio acuerdo al listado contratos o proyectos entregado por la Organización?: Si No X NA En el caso los esquemas en los que es aplicable el requisito diseño y sarrollo l producto o servicio (Por ejemplo el numeral 8.3 la norma ISO 9001:2015 ó 7.3 la norma ISO 9001:2008), este se incluye en el alcance l certificado?: ES-P-SG-02-F-025 Página 4 29

5 3. ACTIVIDADES DESARROLLADAS ES-P-SG-02-F-025 Página 5 29

6 Si No NA X Existen requisitos legales para el funcionamiento u operación la Organización o los proyectos que realiza, por ejemplo habilitación, registro sanitario, licencia funcionamiento, licencia construcción, licencia o permisos ambientales en los que la Organización sea responsable?: Si No X NA Se evincian cambios significativos en la Organización, s la anterior, por ejemplo relacionados con alta dirección, estructura organizacional, sitios permanentes bajo el alcance la certificación, cambios en el alcance la certificación diferentes a ampliación o reducción, entre otros? Si No X En caso afirmativo, cuáles: Al inicio la la organización solicitó a Jorge Ivan Cuartas - Ejecutivo Cuentas, adicionar a la las siguientes ses: Dirección l sitio permanente (diferente al sitio principal) Calle 20 No Localización (ciudad - país) La Ceja, Antioquia - Colombia Actividas l sistema gestión, sarrollados en este sitio, que estén cubiertas en el alcance Todas las actividas l alcance. Carrera 31 No Calle 7 entre carreras 5 y 6, primer piso l palacio municipal. Guatapé, Antioquia - Colombia Sonsón, Antioquia - Colombia Todas las actividas l alcance. Todas las actividas l alcance. Los tiempos adicionales se revisaron con el apoyo l parte l personal la mesa ayuda, adicionando un día Se auditaron actividas en turnos nocturnos? Si No NA X En caso afirmativo scríbalas, Se encontraron controlados los procesos origen externo (out sourcing), cuyo resultado inci en el producto o servicio y que hacen parte l alcance certificación? Si No NA X. ES-P-SG-02-F-025 Página 6 29

7 3. ACTIVIDADES DESARROLLADAS Se presentaron, durante la auditoria, cambios que hayan impedido cumplir con el plan inicialmente acordado con la Organización? Si No X En caso afirmativo, cuáles: Existen aspectos o resultados significativos esta, que incidan en el programa l ciclo certificación? Si No X Quedaron puntos no resueltos en los casos en los cuales se presentaron diferencias opinión sobre las NC intificadas durante la? Si No X NA Aplica restauración para este servicio? Si No NA X 4. HALLAZGOS DE LA AUDITORÍA ES-P-SG-02-F-025 Página 7 29

8 4.1 Hallazgos que apoyan la conformidad l sistema gestión con los requisitos. Se staca la preparación l Sistema Integrado Gestión la Cámara para lograr el Premio Colombiano a la Calidad, redundando en beneficios al ser un Molo Excelencia en la Gestión. Este molo ha servido como referencia para que todo tipo organización siga permanentemente el camino para lograr prácticas organizaciones Clase Mundial. Adicionalmente lograron capacidad para entregar a sus grupos sociales objetivo, una oferta valor claramente diferenciada y sostenible, asegurando su competitividad. Se staca la finición l Contexto finido para el Sistema Integrado Gestión porque se encuentra alineado con la Planeación Estratégica logrando agrupar manera concreta las cuestiones externas e internas que son pertinentes para el propósito estratégico, buscando trazabilidad con el alcance l Sistema Integrado Gestión. Así mismo se staca la generación planes acción a partir los proyectos intificados, porque establecieron claramente los requisitos pertinentes a seguridad la información y gestión la calidad. Se staca la intificación las partes interesadas, y su molo relacionamiento propuesto por Naciones Unidas. Como resultado han obtenido victorias tempranas, vinculación aprendices y formalización l cargo analista relaciones corporativas. Se staca la generación lineamientos trabajados durante la implementación l Sistema Gestión la Seguridad la Información, enfocados a reforzando en las personas, la toma conciencia en lo relacionado con su contribución a la eficacia l sistema gestión, incluyendo los beneficios una mejora l sempeño la calidad en los servicios y la interiorización la Política l Sistema Gestión la Seguridad la Información. En las campañas han incluido boletines, mensajes a través correo electrónico, la contratación humoristas, entre otros. El análisis riesgos seguridad la información es un aspecto relevante por su integración con los análisis riesgos l negocio, se staca por su alcance, cobertura y por la constante 4. HALLAZGOS DE LA AUDITORÍA ES-P-SG-02-F-025 Página 8 29

9 participación todos los líres los procesos. Los dueños l riesgo ingresan a ISOTOOLS y registran la aprobación los riesgos inherentes y el riesgo residual manera estandarizada. El trabajo que se está alantando alredor l tema gestión l conocimiento ntro l marco gestión cambio organizacional, mediante la elaboración y cumplimiento l Plan Individual Capacitación ha permitido especializar mucho más a los empleados y así lograr la prestación un mejor servicio. Se encontraron mapas conocimiento, en ISOTOOLS las fichas los proyectos y las lecciones aprendidas. En Gestión la Innovación se evinciaron los concursos innovación enfocado a servicios misionales. Se stacan las 600 propuestas y los 6 proyectos innovación premiados, (tráiler observatorio, kiosko multimedia, entre otros). La metodología utilizada en las revisiones por la dirección, porque han logrado involucrar en su elaboración a todos los líres proceso la Cámara, a través l análisis la revisión por la dirección s cada uno los procesos. Es un aspecto relevante la constate exploración la solución problemas prácticos con ayuda la tecnología, facilitando a los usuarios el reporte casos soporte, a través la mesa ayuda, lo cual les ha permitido mejorar la manera abordar la atención las solicitus mediante una mesa servicios y así mismo estructurar la base conocimientos a partir la colección las soluciones a los casos reportados. Al interior la Cámara se staca los mecanismos seguridad a física y la gestión todos los servicios red, porque aseguran la protección las res telecomunicaciones y sus instalaciones procesamiento información soporte. Así mismo se realiza acuada gestión control acceso a la red y a las aplicaciones. ES-P-SG-02-F-025 Página 9 29

10 5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTION 5.1. Análisis la eficacia l sistema gestión certificado Incluir las reclamaciones o quejas validas l cliente en los sistemas gestión que aplique durante el último año. Número quejas o reclamaciones No Aplica Principal causa Acciones tomadas Incluir la ocurrencia incintes (accintes o emergencias) en los sistemas gestión que aplique y explique brevemente como fueron tratados: La organización cuenta con una metodología gestión incintes. Número Incintes seguridad la información: 0 en el año 2016 y 16 en el año Se evincia análisis causas, corrección y acción correctiva a partir los incintes presentados. El aprendizaje los incintes se genera a través conclusiones posteriores al análisis causas. 5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTION En los casos que aplique verificar que la Organización haya informado a ICONTEC durante los plazos especificados en el Reglamento ES-R-SG-001 eventos que hayan afectado el sempeño l sistema gestión certificado, relacionados con el alcance certificación que sean conocimiento público. El auditor verificará las acciones pertinentes tomadas por la Organización para evitar su recurrencia y scribirá brevemente como fueron atendidas. No Aplica Existen quejas usuarios la certificación recibidas por ICONTEC durante el último periodo evaluado? (Aplica a partir l primer seguimiento)? Si No NA X Se evincia la capacidad l sistema gestión para cumplir los requisitos aplicables y lograr los resultados esperados? : Si X No Se concluye que el alcance l sistema gestión es apropiado frente a los requisitos que la Organización be cumplir? (consultar ES-P-SG-02-A-001) Si X No. ES-P-SG-02-F-025 Página 10 29

11 5.2. Relación no conformidas tectadas durante el ciclo certificación El ciclo certificación inicia con una otorgamiento o renovación, a partir esta indicar contra cuáles requisitos se han reportado no conformidas. Auditoria Número no conformidas Requisitos Otorgamiento / Renovación 4 1ª seguimiento l ciclo No Aplica 2ª seguimiento l ciclo No Aplica Auditorias especiales No Aplica (Extraordinaria, reactivación, ampliación ) Se evincia recurrencia no conformidas tectadas en las s ICONTEC en el último ciclo certificación? Si No NA X. 5.3 Análisis l proceso interna La interna se planificó y cubrió todo el Sistema Gestión. Fue realizada por un auditores que cuentan con la competencia respectiva. El tiempo la fue acuado para el tamaño la organización. La interna se realizó durante el mes marzo El procedimiento auditoria incluye los lineamientos establecidos por la norma ISO Se dispuso los resultados la y las conclusiones generales sobre el sistema gestión. De acuerdo con los resultados la, se trabaja en la implementación acciones para el mejoramiento. 5.4 Análisis la revisión l sistema por la dirección La revisión por la dirección dio cumplimiento a las disposiciones establecidas y a los requisitos terminados en el numeral 9.3 la norma ISO 27001:2013. Se realizó un análisis tallado los 5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTION resultados los procesos y los compromisos señalados por la dirección. Se intificaron tópicos para el mejoramiento los procesos y se precisaron buenas prácticas para apoyar y cimentar el crecimiento en los procesos. La revisión por la dirección se realizó el día 30 septiembre USO DEL CERTIFICADO DE SISTEMA DE GESTION Y DE LA MARCA O LOGO DE LA CERTIFICACION ES-P-SG-02-F-025 Página 11 29

12 6.1. El logo o la marca conformidad certificación sistema gestión ICONTEC se usa en publicidad (página web, brochure, papelería, facturas, etc )? Si No NA X. Se le informa a la Organización que el logo certificación ICONTEC, solo podrá ser usado acuerdo a lo establecido en el Manual Aplicación ES-P-GM-01-A-011, una vez ICONTEC notifique oficialmente la cisión otorgar el certificado La publicidad realizada por la Organización está acuerdo a lo establecido en el reglamento ES- RSG-001 y el Manual aplicación ES-P-GM-01-A-011? Si No NA X El logo o la marca conformidad se usa sobre el producto o sobre el empaque o el envase o el embalaje l producto, o cualquier otra forma que note conformidad l producto? Si No NA X 6.4. Se evincia la acuación la información contenida en el certificado (vigencia l certificado, logo organismo acreditación, razón social registrada en documentos existencia y representación legal, direcciones sitios permanentes cubiertos por la certificación, alcance, etc.? Si No NA X 7. RESULTADO DE LA REVISION DE LAS CORRECCIONES Y ACCIONES CORRECTIVAS PARA LAS NO CONFORMIDADES MAYORES DETECTADAS EN ESTA AUDITORIA, MENORES QUE GENERARON COMPLEMENTARIA Y, MENORES DETECTADAS EN ESTA AUDITORIA QUE POR SOLICITUD DEL CLIENTE FUERON REVISADAS Se presentaron no conformidas mayores? SI NO X Se presentaron no conformidas menores la auditoria anterior que no pudieron ser cerradas en esta? SI NO NA X Se presentaron no conformidas menores tectadas en esta que por solicitud l cliente fueron revisadas durante la complementaria? Si No NA X En caso afirmativo diligencie el siguiente cuadro: 7. RESULTADO DE LA REVISION DE LAS CORRECCIONES Y ACCIONES CORRECTIVAS PARA LAS NO CONFORMIDADES MAYORES DETECTADAS EN ESTA AUDITORIA, MENORES QUE GENERARON COMPLEMENTARIA Y, MENORES DETECTADAS EN ESTA AUDITORIA QUE POR SOLICITUD DEL CLIENTE FUERON REVISADAS ES-P-SG-02-F-025 Página 12 29

13 Fecha la verificación complementaria: NA NC Descripción la no conformidad (se relaciona el numeral la norma y la evincia l incumplimiento) NA Evincia obtenida que soporta la solución No conformidas mayores intificadas en esta Fue eficaz la acción? Si/No NA No conformidas pendientes la anterior que no se solucionaron NA No conformidas tectadas en esta que fueron cerradas 8. RECOMENDACIÓN DEL EQUIPO AUDITOR DE ACUERDO CON EL ES-R-SG-001 Se recomienda otorgar la Certificación l Sistema Gestión Se recomienda mantener el alcance l certificado o l Sistema Gestión Se recomienda renovar el certificado l Sistema Gestión Se recomienda ampliar el alcance l certificado l Sistema Gestión Se recomienda reducir el alcance l certificado Se recomienda reactivar el certificado Se recomienda actualizar el certificado l Sistema Gestión Se recomienda restaurar el certificado, una vez finalice el proceso renovación SI X NO ES-P-SG-02-F-025 Página 13 29

14 Se recomienda suspenr el certificado Se recomienda cancelar el certificado Nombre l auditor lír: Yobany Vargas Gordillo Fecha RECOMENDACIÓN DEL EQUIPO AUDITOR DE ACUERDO CON EL ES-R-SG ANEXOS QUE FORMAN PARTE DEL PRESENTE INFORME Anexo 1 Anexo 2 Anexo 3 Plan ES-P-SG-02-F-002 (Adjuntar el plan a este formato) Información específica esquemas certificación sistema gestión Correcciones, análisis causa y acciones correctivas Aceptación la organización firmada. ES-P-SG-02-F-025 Página 14 29

15 ANEXO 1 PLAN DE AUDITORIA EMPRESA: Cámara Comercio l Oriente Antioqueño Dirección l sitio : Representante la organización: Cargo: Carrera 47 No. 64 A 263 Vía Belén Kilómetro 2 Vía Rionegro Rionegro - Antioquia Colombia Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Correo electrónico di.organizacional@ccoa.org.co Alcance SGC: Prestación servicios : Afiliación, registro público, información comercial y formación empresarial. Alcance SGSI: Prestación servicios para la gestión los registros públicos. Declaración aplicabilidad Versión Norma ISO 9001: Norma ISO 27001: la CRITERIOS DE AUDITORÍA documentación l Sistema Gestión versión 12 Tipo : X INICIAL U OTORGAMIENTO X SEGUIMIENTO RENOVACION AMPLIACIÓN REDUCCIÓN REACTIVACIÓN EXTRAORDINARIA ACTUALIZACIÓN Aplica toma muestra por multisitio: Existen actividas/procesos que turno nocturno: X No Si X No Si requieran ser auditadas en ES-P-SG-02-F-025 Página 15 29

16 Con un cordial saludo, enviamos el plan la que se realizará al Sistema Gestión su organización. Por favor indicar en la columna correspondiente, el nombre y cargo las personas que atenrán cada entrevista y volverlo al correo electrónico l auditor lír. Así mismo, para la reunión apertura la le agrazco invitar a las personas l grupo la alta dirección y las áreas/procesos/actividas que serán auditadas. Para la reunión apertura le solicitamos disponer un proyector para computador y sonido para vio, si es necesario, (sólo para s certificación inicial y actualización). En cuanto a las condiciones seguridad y salud ocupacional aplicables a su organización, por favor informarlas previamente al inicio la y disponer el suministro los equipos protección personal necesarios para el equipo auditor. La información que se conozca por la ejecución esta será tratada confincialmente, por parte l equipo auditor ICONTEC. El idioma la y su informe será el español. Los objetivos la son: Determinar la conformidad l sistema gestión con los requisitos la norma sistema gestión. Determinar la capacidad l sistema gestión para asegurar que la organización cumple los requisitos legales, reglamentarios y contractuales aplicables al alcance l sistema gestión y a la norma requisitos gestión. Determinar la eficacia l sistema gestión para asegurar que la organización pue tener expectativas razonables con relación al cumplimiento los objetivos especificados. Intificar áreas mejora potencial l sistema gestión. Las condiciones este servicio se encuentran indicadas en el Reglamento certificación sistemas gestión R-SG-001. Auditor Lír ISO 9001: Auditor Lír ISO 27001: Experto técnico: Rodrigo Mejía G (RM) Yobany Vargas G (YV) Lina María Parra G (LMP) Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la PROCESO / REQUISITOS POR AUDITAR EQUIPO AUDITOR CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) ES-P-SG-02-F-025 Página 16 29

17 Carrera 47 No. 64 A 263 Vía 08:00 Reunión apertura RM- YVLMP Rodrigo Antonio Zuluaga Mejía, Presinte Ejecutivo Diana Gabriela Parra Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la PROCESO / REQUISITOS POR AUDITAR EQUIPO AUDITOR CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) ES-P-SG-02-F-025 Página 17 29

18 Belén Kilómetro 2 Vía Rionegro, Rionegro - Antioquia Colombia 08:30 Quintero Directora Planeación Estratégica y Gestión Organizacional Soraida María Tobón Sossa, Directora Administrativa y Financiera Juan Camilo Aguirre, Jefe Tecnología Arelis Álzate, Jefe Registro Duvan Alexis Correa, Coordinador Competitividad Astrid Milena Gómez, Control Interno Erwin Morales, Analista Comunicaciones Yanet Liliana Cataño, Servicios Empresariales Ferney López Dávila, Seguridad la Información María Luisa Ríos, Analista Tecnología. Stefanny Montoya, Analista Administrativa. Leidy Biviana Suaza, Auxiliar Administrativa Maryori Ocampo, Planeación y Procesos Juan Camilo Gallego, Profesional Jurídico y Registros Lady Tatiana Tamayo, Asistente CAD Jorge Sánchez Villa, Asistente Tecnología ES-P-SG-02-F-025 Página 18 29

19 Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la 08:30 10:30 10:30 10:30 12:30 12:30 12:30 13:30 PROCESO / REQUISITOS POR AUDITAR Gestión Estratégica Revisión por la dirección. ISO 9001: ISO 27001: 4, 5, 9.1, 9.3, Fortalecimiento y Desarrollo Empresarial Gestión y Control l Riesgos ISO 27001: 6.1, 8.2, 8.3 Receso EQUIPO AUDITOR RM- YVLMP RM-LMP YV RM- LMPYV CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Rodrigo Antonio Zuluaga Mejía, Presinte Ejecutivo Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Maryori Ocampo, Planeación y Procesos Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Yanet Liliana Cataño, Servicios Empresariales Duvan Alexis Correa, Coordinador Competitividad Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Astrid Milena Gómez, Control Interno Maryori Ocampo, Planeación y Procesos ES-P-SG-02-F-025 Página 19 29

20 13:30 16:00 Gestión los Registros Públicos. ISO 9001: ISO 27001: A.8.3, A.9.4, A.11, A.12.2 RM- YVLMP Arelis Álzate Uribe, Jefe Registro Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la 17:00 18:00 18:00 18:30 PROCESO / REQUISITOS POR AUDITAR Mejora Continua ISO 9001: ISO 27001: Informe avance EQUIPO AUDITOR RM-YV- LMP RM- YVLMP CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión. Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Maryori Ocampo, Planeación y Procesos ES-P-SG-02-F-025 Página 20 29

21 Carrera 47 No. 64 A 263 Vía Belén Kilómetro 2 Vía Rionegro, Rionegro - Antioquia Colombia 08:00 09:30 09:30 11:00 Gestión l Talento Humano ISO 9001: ISO 27001: , A.7 Gestión l Talento Humano (Contratos los empleados, Proceso Disciplinario) ISO 27001: A.7.1.2, A RM-YV YV Soraida María Tobón Sossa, Directora Administrativa y Financiera Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Soraida María Tobón Sossa, Directora Administrativa y Financiera Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la 09:30 10:30 PROCESO / REQUISITOS POR AUDITAR Gestión Comunicaciones EQUIPO AUDITOR RM CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Jefe Tecnología Ferney López Dávila, Seguridad la Información Erwin Morales, Analista Comunicaciones Maryori Ocampo, Planeación y Procesos ES-P-SG-02-F-025 Página 21 29

22 10:30 11:30 11:00 Verificación procesos origen externo (out sourcing), cuyo resultado inci en el producto o servicio y que hacen parte l alcance certificación Verificación evincias para el cierre no conformidas la auditoria anterior. (Este espacio aplica si no fue posible cerrarlas durante la auditoria los procesos y/o actividas). Verificación l uso l logo en los diferentes medios publicidad usados por la empresa. (El auditor be verificar en pagina web, brouchure, papelería, etc en cualquier momento la auditoria) 11:30 Elaboración informe ISO :00 Reunión cierre ISO :30 Gestión las TICS (Gestión Servicios Tecnología la Información (Seguridad en las operaciones) ISO 27001: A.12 RM RM RM RM YV Todas las personas entrevistadas en la Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Fecha/ Sitio (si hay más uno) Hora inicio la Hora finalización la PROCESO / REQUISITOS POR AUDITAR EQUIPO AUDITOR CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Información 12:30 13:30 Receso RM- YVLMP ES-P-SG-02-F-025 Página 22 29

23 13:30 17:30 17:30 18:00 Gestión las TICS (Gestión Servicios Tecnología la Información) (Administración Sistemas Información, Controles Criptográficos, Seguridad en Res, Gestión Incintes seguridad, Continuidad negocio, Control Acceso, Seguridad en las Res) ISO 27001: A.9, A.10, A.13, A.16, A.17 Informe avance YV YV Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Carrera 47 No. 64 A 263 Vía Belén Kilómetro 2 Vía Rionegro, Rionegro - Antioquia Colombia 08:00 10:30 10:30 12:30 Gestión Administrativa (Gestión Compras, Gestión la Infraestructura Física) Gestión proveedores, Seguridad Física ISO 27001: A.11, A.15 Gestión Administrativa (Gestión Documental) ISO 27001: A.8.1, A.8.2 YV YV Soraida María Tobón Sossa, Directora Administrativa y Financiera Leidy Biviana Suaza, Auxiliar Administrativa Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Soraida María Tobón Sossa, Directora Administrativa y Financiera Lady Tatiana Tamayo, Asistente CAD Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión ES-P-SG-02-F-025 Página 23 29

24 Fecha/ Sitio (si hay más uno) Hora inicio la 12:30 Hora finalización la 13:30 PROCESO / REQUISITOS POR AUDITAR Receso EQUIPO AUDITOR YV CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información 13:30 15:30 15:30 16:30 Gestión las TICS (Gestión la Infraestructura Tecnológica y Sistemas Información Tecnológica) (Adquisición, sarrollo y mantenimiento sistemas) ISO 27001: A.14 Gestión las TICS (Gestión mejoras Tecnológicas) ISO 27001: 7,3. 8,1. 8,3. 10,1. YV Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información ES-P-SG-02-F-025 Página 24 29

25 16:30 17:30 Gestión Jurídica ISO 27001: A.18 Juan Camilo Gallego, Profesional Jurídico y Registros. Diana Gabriela Parra Quintero Directora Planeación Estratégica y Gestión Organizacional Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Fecha emisión l plan : ES-P-SG-02-F-025 Página 25 29

26 Fecha/ Sitio (si hay más uno) Hora inicio la 17:30 Hora finalización la 18:30 PROCESO / REQUISITOS POR AUDITAR Informe avance EQUIPO AUDITOR YV CARGO Y NOMBRE (Todas las personas que serán entrevistadas en la ) Carrera 31 No Guatapé, Antioquia - Colombia 08:00 12:30 12:30 13:30 Gestión los Registros Públicos. ISO 9001: ISO 27001: A.8.3, A.9.4, A.11, A.12.2 Receso YV Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Calle 20 No La Ceja, Antioquia - Colombia 13:30 16:00 16:30 h 17:00 h Gestión los Registros Públicos. ISO 9001: ISO 27001: A.8.3, A.9.4, A.11, A.12.2 Balance y consolidación información equipo auditor YV Juan Camilo Aguirre, Jefe Tecnología Ferney López Dávila, Seguridad la Información Observaciones: 17:00 h 17:30 h Reunión cierre ISO YV Todos los auditados Especificar los requisitos comunes que serán auditados en todos los procesos. Especificar cualquier aspecto logístico importante para el sarrollo la, tal como traslado y regreso los sitios don se sarrollará la, transporte, entre otros, en caso ser requerido. Indicar si esta es testificada por un Organismo Acreditación. N. A. Indicar los nombres las personas que conforman el equipo evaluador. Nota: el equipo evaluador l ente acreditador pue variar en la asignación los integrantes según lo fina el acreditador. Dejar la siguiente frase: La función l equipo evaluador consiste en observar y evaluar la competencia l equipo auditor y la aplicación los procedimientos ICONTEC para dar cumplimiento a los requisitos acreditación con la norma ISO/IEC Para el balance diario información l equipo auditor le agracemos disponer una oficina o sala, así como también acceso a la documentación l sistema gestión. ES-P-SG-02-F-025 Página 26 29

27 ANEXO 2 INFORMACION ESPECIFICA DE ESQUEMAS DE CERTIFICACIÓN DE SISTEMA DE GESTIÓN ES-P-SG-02-F-025 Página 27 29

28 Sistema gestión seguridad la información ISO/IEC Objetivos la Evaluar las implicaciones los cambios en el SGSI, iniciadas como consecuencia cambios en la operación l cliente y cubrir al menos: a) El sistema mantenimiento elementos tales como la evaluación y control riesgos seguridad información mantenimiento, internas l SGSI, revisión por la dirección y las acciones correctivas; b) Las comunicaciones las partes externas como es requerido por el Sistema Seguridad la Información la norma ISO / IEC 27001; c) Los cambios en la documentación l Sistema Gestión; d) Las zonas sujetas a cambio; e) los requisitos la norma ISO/IEC Actividas sarrolladas La metodología la auditoria fue verificación registros físicos y electrónicos, interacción, observación. Se modificó la Declaración Aplicabilidad? Si No X Si aplica, mencionar el cambio y la versión (Asegúrese colocar la claración aplicabilidad vigente en el alcance la certificación) Los procedimientos adoptados por el cliente brindan confianza en el SGSI? Si X No Si la respuesta es NO, se be justificar porque no brindan confianza o eliminar si no aplica. Describa brevemente los documentos revisados como evincia las muestras tomadas para la evaluación l SGSI (Ver ES-P-SG-02-A-007). POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN REGISTRO DE INCIDENTES O EVENTOS DE SEGURIDAD REGISTRO DE REVISIONES DE PERFILES A COLABORADORES REGISTRO DE VULNERABILIDADES REVISIÓN DE CUENTAS DESACTIVADAS DE USUARIOS RETIRADOS REVISION FÍSICA DE EQUIPOS DE CÓMPUTO ROLES DE SEGURIDAD DE LA INFORMACIÓN ES-P-SG-02-F-025 Página 28 29

29 MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CAPACITACIÓN DE SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD FORMATO IDENTIFICACIÓN DE PERFILES A COLABORADORES GESTION DE VULNERABILIDADES IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS IDENTIFICACION, CLASIFICACION Y VALORACION DE ACTIVOS DE INFORMACION INCIDENTES DE SEGURIDAD INVENTARIO DE ACTIVOS DE INFORMACIÓN MANUAL IDENTIFICACION, CLASIFICACION Y VALORACION DE ACTIVOS DE INFORMACION MANUAL PLAN DE CONTINUIDAD DEL NEGOCIO PRUEBA DE PLAN DE CONTINUIDAD DEL NEGOCIO INFORME DE AUDITORÍA INTERNA INFORME ETHICAL HACKING POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN REGISTRO DE INCIDENTES O EVENTOS DE SEGURIDAD REGISTRO DE REVISIONES DE PERFILES A COLABORADORES REGISTRO DE VULNERABILIDADES REVISIÓN DE CUENTAS DESACTIVADAS DE USUARIOS RETIRADOS REVISION FÍSICA DE EQUIPOS DE CÓMPUTO ROLES DE SEGURIDAD DE LA INFORMACIÓN Análisis la eficacia l sistema gestión certificado ES-P-SG-02-F-025 Página 29 29

30 Describa brevemente el análisis riesgos, la revisión los planes tratamiento y l riesgo residual (Ver ES-P-SG-02-A-007) A continuación, se talla el análisis riesgos los procesos misionales y tecnológicos, rivado la última revisión realizada por la organización. o El análisis riesgos seguridad la información es un aspecto relevante por el trabajo implementación plan tratamiento l riesgo. En la actualidad se tienen registrados 118 riesgos inherentes en todos los procesos l SGSI y 70 riesgos residuales. La metodología análisis riesgos se staca por su alcance, cobertura y por la constante participación todos los líres los procesos. Los dueños l riesgo intifican los riesgos y registran la aprobación los riesgos inherentes y el riesgo residual manera estandarizada. Los que riesgos con calificación Bajo no tienen plan tratamiento l riesgo. o Se evincia un proceso gestión riesgos orientado al control y monitoreo constante la eficaz implementación los planes tratamiento l riesgo y obtención riesgo residual ntro los límites permisibles. o Se evinciaron avances satisfactorios en la utilización la herramienta ISOTOOLS para la gestión riesgos seguridad la información. ES-P-SG-02-F-025 Página 30 29

31