Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe
Oficina Nacional de Gobierno Electrnico e Informtica
Agenda
Seccin 1: Principios fundamentales de la Seguridad de la Informacin Seccin 2: Estndar y Marco Normativo Seccin 3: Implementacin de la Norma ISO 27001
2 Principios fundamentales de la Seguridad de la Informacin
Seccin 1 3 Qu es Seguridad?
El trmino seguridad proviene de la palabra securitas del latn. Cotidianamente se puede referir a la seguridad como la reduccin del riesgo o tambin a la confianza en algo o alguien. Sin embargo, el trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia. 4 Informacin y Activo
Informacin: Datos significativos Activo: Cualquier bien que tiene valor para la organizacin
5 Activo de Informacin
Las organizaciones poseen informacin que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio. Este tipo de informacin imprescindible para las empresas es lo que se denomina activo de informacin.
6 Tipos de Activos de Informacin Servicios: Procesos de negocio de la organizacin Datos/Informacin: Que son manipulados dentro de la organizacin, suelen ser el ncleo del sistema, los dems activos les dan soporte. Aplicaciones (Software) Equipo Informtico (Hardware) Personal Redes de Comunicacin Soporte de Informacin Equipamiento Auxiliar Instalaciones Intangibles
7 Documento - Registro
Documento: Informacin y su medio de soporte Registro: Documento que indique los resultados obtenidos o proporcione evidencia de las actividades desempeadas
8 Seguridad de la Informacin
La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten resguardar y proteger la informacin buscando mantener las dimensiones (confidencialidad, disponibilidad e integridad) de la misma.
9 Nota: Por otra parte, tambin pueden participar otras propiedades, como la autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad Seguridad de la Informacin
Abarca todo tipo de informacin Impresa o escrita a mano Grabada con asistencia tcnica Transmitida por correo electrnico o electrnicamente Incluida en un sitio web Mostrada en videos corporativos Mencionada durante las conversaciones Etc.
10 Confidencialidad
La confidencialidad es la propiedad que impide la divulgacin de informacin a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a aquellas personas que cuenten con la debida autorizacin.
11 Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad es mantener con exactitud la informacin tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. 12 Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el momento que as lo requieran. 13 Anlisis de Riesgos Vulnerabilidad
La debilidad de un activo o de un control que puede ser explotada por una o ms amenazas. Las vulnerabilidades pueden ser intrnsecas o extrnsecas.
14 Anlisis de Riesgos Amenazas
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede producir un dao (material o inmaterial) sobre los Elementos de Informacin. 15
Anlisis de Riesgos Relacin: Vulnerabilidad y Amenaza 16 Impacto
17 Cambio adverso importante en el nivel de los objetivos de negocios logrados Riesgo para la Seguridad de la Informacin Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causar dao a la organizacin
18 Probabilidad de Ocurrencia Consecuencia (Impacto) Riesgo El Riesgo en funcin del Impacto y la Probabilidad 19 zona 1 riesgos muy probables y de muy alto impacto zona 2 franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo zona 3 riesgos improbables y de bajo impacto zona 4 riesgos improbables pero de muy alto impacto Objetivo de Control y Control
Objetivo de Control Declaracin de describir lo que se quiere lograr como resultado de los controles de aplicacin Control Mtodos para gestionar a riesgo Incluye las polticas, procedimientos, directrices y prcticas o estructuras organizativas Sinnimo: medida, contra medida, dispositivo de seguridad
20 Tipos de Controles
Control preventivo Desalentar o evitar la aparicin de problemas Ejemplos: Publicacin de la poltica de seguridad de la informacin. Hacer que socios y empleados firmen un acuerdo de confidencialidad. Establecer y mantener contactos apropiados con los grupos de especialistas en seguridad de la informacin. Contratar slo personal calificado.
21 Tipos de Controles
Control de investigacin Buscar e identificar anomalas Ejemplos: Controles en trabajos de produccin. Control de ecos en las telecomunicaciones. Alarmas para detectar el calor, humo, fuego o riesgos relacionados con el agua. Verificacin de los dobles clculos. Cmaras de vdeo. Sistema de deteccin de intrusiones (IDS).
22 Tipos de Controles
Control correctivo Evitar la repeticin de anomalas Ejemplos: Implementar planes de emergencia con la formacin, concienciacin, pruebas, procedimientos y actividades de mantenimiento necesarios. Procedimientos de emergencia, tales como copias de seguridad peridicas, el almacenamiento en un lugar seguro y la recuperacin de las transacciones. Procedimientos re-ejecutados.
23 Las Relaciones entre Conceptos de Gestin de Riesgos
24 Estndar y Marco Normativo Seccin 2 25 Qu es ISO?
ISO es una red de organismos nacionales de estandarizacin de mas de 160 pases. Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales Se han publicado mas de 19,000 normas desde 1947 26 Principios Bsicos de las Normas ISO 1. Representacin igualitaria: 1 voto por pas 2. Adhesin voluntaria: ISO no tiene la autoridad para forzar la adopcin de sus normas 3. Orientacin al negocio: ISO slo desarrolla normas para las que existe demanda del mercado 4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas 5. Cooperacin internacional: ms de 160 pases adems de organismos de enlace Principios Bsicos de las Normas ISO 27 Qu son los Sistemas de Gestin?
Un sistema de gestin es una estructura probada para la gestin y mejora continua de las polticas, los procedimientos y procesos de la organizacin. Un sistema de gestin ayuda a lograr los objetivos de la organizacin mediante una serie de estrategias, que incluyen la optimizacin de procesos, el enfoque centrado en la gestin y el pensamiento disciplinado. 28 Los Sistemas de Gestin se Integran
SISTEMA DE GESTION SALUD Y SEGURIDAD TRABAJO OHSAS 18001 CALIDAD ISO 9001 AMBIENTALISO ISO 14001 SEGURIDAD DE LA INFORMACION ISO 27001 29 Qu es un SGSI?
Un SGSI (Sistema de Gestin de Seguridad de la Informacin) proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la proteccin de los activos de informacin para lograr objetivos de negocio. El anlisis de los requisitos para la proteccin de los activos de informacin y la aplicacin de controles adecuados para garantizar la proteccin de estos activos de informacin, contribuye a la exitosa implementacin de un SGSI. En ingles se conoce con las siglas ISMS (Information security management system) 30 Qu es un SGSI?
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) en las empresas ayuda a establecer estas polticas, procedimientos y controles en relacin a los objetivos de negocio de la organizacin. 31 Enfoque a Procesos
32 Ciclo de Deming
El circulo de DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestion. El conocido Ciclo Deming o tambin se le denomina el ciclo PHVA que quiere decir segn las iniciales (planear, hacer, verificar y actuar) o ingles PDCA (Plan, Do, Check, Act) 33 Ciclo de Deming
34 Familia ISO 27000 V o c a b u l a r i o
R e q u i s i t o s
G e n e r a l i d a d e s
I n d u s t r i a
ISO 27000 Vocabulario ISO 27001 Requisitos del SGSI ISO 27004 Mtricas ISO 27002 Cdigo buenas practicas ISO 27003 Gua de Implementacin ISO 27005 Gestin de Riesgos ISO 27007-27008 Guas de Auditoria ISO 270XX Vocabulario ISO 27011 Telecomunicaciones ISO 27799 Salud ISO 27009 Requisitos organizacin certificadora 35 ISO 27001
Especifica los requisitos de gestin de un SGSI (Clusula 4 a 10) Los requisitos (clusulas) son escritos utilizando el verbo "debern" en imperativo Anexo A: 14 clusulas que contienen 35 objetivos de control y 114 controles La organizacin puede ser certificada en esta norma 36 ISO 27002
Gua para el cdigo de prcticas para los controles de la seguridad de la informacin (Documento de referencia) Clusulas escritas utilizando el verbo "debera" Compuesto de 14 clusulas, 35 objetivos de control y 114 controles Una organizacin no puede ser certificada en esta norma Tambin conocida como ISO 17799 37 ISO 27003
Gua para el cdigo de prcticas para la implementacin de un SGSI Documento de referencia para ser utilizado con las normas ISO 27001 e ISO 27002 Consta de 9 clusulas que definen 28 etapas para implementar un SGSI La certificacin con esta norma no es posible 38 Historia de la Norma ISO 27001 39 Estructura de la Norma ISO 27001 Clausula 7 Soporte Clausula 4 Contexto de la organizacin Clausula 5 Liderazgo Clausula 5 Planificacin Clausula 8 Funcionamiento Clausula 10 Mejora Clausula 9 Evaluacin del desempeo 40 Implementacin de la Norma ISO 27001 41 Seccin 3 Enfoque a Procesos
La aplicacin del enfoque de proceso variar de una organizacin a otra en funcin de su tamao, complejidad y actividades A menudo las organizaciones identifican demasiados procesos Los procesos se pueden definir como un grupo lgico de tareas relacionadas entre s, para alcanzar un objetivo definido. ENTRADA SALIDA PROCESO 42 Informacin Documentada Ciclo de Vida de los Documentos
43 1. Creacin 2. Identificacin 3. Clasificacin y seguridad 4. Modificacin 9. Disposicin 8. Archivado 7. Uso adecuado 6. Distribucin 5. Aprobacin ISO 30301
Informacin y documentacin. Sistemas de gestin para documentos. Requisitos La organizacin puede ser certificada en esta norma
44 La implantacin de un Sistema de Gestin de Seguridad de la Informacin es una decisin estratgica que debe involucrar a toda la organizacin y que debe ser apoyada y dirigida desde la direccin 45 Etapas Ciclo de Deming
Compromiso de la direccin Planificacin Fechas Responsables
Definir alcance del SGSI Definir Poltica de Seguridad Metodologa de evaluacin de riesgos. Inventarios de activos Identificar amenazas y vulnerabilidades Identificar Impactos Anlisis y evaluacin de riesgos Seleccin de controles y SOA
Revisar el SGSI Medir eficacia de los controles Revisar riesgos residuales Realizar auditorias internas del SGSI Registrar acciones y eventos
Definir plan de tratamiento de riesgos Implantar plan de tratamiento de riesgos Implementar controles Formacin y concienciacin Operar el SGSI
Implantar mejoras Acciones correctivas Acciones Preventivas Comprobar eficacia de las acciones
46 Iniciando el SGSI
47 Definicin del enfoque para la aplicacin del SGSI Velocidad de Implementacin Nivel de madurez del proceso y controles Expectativas y mbito Seleccin de un marco metodolgico Metodologa para gestionar el proyecto (PMBOK) Alineacin con las mejores practicas ISO 27001 ISO 27002 ISO 27003 ISO 27004
Nivel de Madurez
Es importante determinar en que nivel se encuentra la organizacin, para ello CMM muestra la madurez de una organizacin basndose en la capacidad de sus procesos 48 FASE I Organizacin 49 Fase I Organizacin
Obtener el apoyo institucional Determinar el alcance del Sistema de Gestin de Seguridad de la Informacin Determinar la declaracin de Poltica de Seguridad de la Informacin y objetivos Determinar criterios para la evaluacin y aceptacin de riesgos 50 Desarrollar las actividades principales para la direccin e inicio de la implantacin del SGSI. Obtener el Apoyo Institucional Existen 4 ejes de apoyo para sustentar el apoyo institucional, estos son: 1. Cumplimiento 2. Proteccin de Procesos de Negocio 3. Disminucin de incidentes 4. Ordenamiento de su negocio
51 AREAS FUNCIONALES
Organizacin de la Seguridad
COSI COMIT TCNICO DE SEGURIDAD DE LA INFORMACION
CGSI COMIT DE GESTION DE SEGURIDAD DE LA INFORMACION OSI OFICIAL DE SEGURIDAD DE LA INFORMACION SI RESPONSABLE SEGURIDAD INFORMATICA SF RESPONSABLE SEGURIDAD FISICA ROLES 52 Comit Gestin
El Comit de Gestin de Seguridad de la Informacin es el mximo rgano consultivo de carcter no tcnico sobre la seguridad de la informacin. Se reunir por lo menos una vez al mes para evaluar la situacin institucional en materia de seguridad de la informacin y el plan de accin para mejorarla continuamente. Las funciones del Comit de Gestin de Seguridad de la Informacin son las siguientes: Informar la situacin Institucional en materia de seguridad de la informacin. Proponer la designacin del Oficial de Seguridad de la Informacin. Designar a los miembros del Comit Tcnico de Seguridad de la Informacin. Patrocinar y participar en la implementacin, operacin, monitoreo, revisin, mantenimiento y mejora continua del Sistema de Gestin Seguridad de la Informacin (SGSI).
53 Comit Tcnico
El Comit Tcnico de Seguridad de la Informacin es un rgano consultivo de carcter tcnico y est integrado por los Jefes de los procesos involucrados en el alcance quienes debern tener un amplio conocimiento de los procesos que se realizan en la institucin. Las funciones del Comit Consultivo de Seguridad de la Informacin son las siguientes: Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros. Ser embajadores de seguridad de la informacin para influenciar las opiniones de una forma positiva y, recoger las necesidades y expectativas de los trabajadores. Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir informes al Comit de Gestin de Seguridad de la Informacin. Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la Informacin.
54 Determinar el Alcance del SGSI Se debe definir en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado) 55 Determinar el Alcance del SGSI Definir los limites de la organizacin. Definir los limites de los sistemas de informacin. Definir el mbito y limites fsicos. Definir el alcance del SGSI. Cambios en el alcance. Extensin del mbito de aplicacin.
56 Determinar el Alcance del SGSI Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado 57
Determinar la Declaracin de Poltica de Seguridad de la Informacin y Objetivos
Debe tener el marco general y los objetivos de seguridad de la informacin de la organizacin Debe explicar los requisitos de negocio, legales y contractuales en cuanto a seguridad Debe de estar alineada con la gestin de riesgo general, establecer criterios de evaluacin de riesgo y ser aprobada por la Direccin. La poltica de seguridad es un documento muy general, una especie de "declaracin e intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. 58 Tipos de Poltica
59 Poltica de Seguridad Poltica de Seguridad de la Informacin Poltica del SGSI Poltica sobre control de acceso Poltica sobre criptografa Poltica de gestin de incidentes POLITICA GENERALES DE ALTO NIVEL POLITICA ALTO NIVEL X TEMAS ESPECIFICOS POLITICA DETALLADAS Estructura de una Poltica
Resumen Introduccin mbito de aplicacin Objetivos Principios Responsabilidades Resultados importantes Polticas relacionadas Definiciones Sanciones 60 Determinar Criterios para la Evaluacin y Aceptacin de Riesgos Se debe definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas; la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla. 61 Algunas Metodologas para la Evaluacin de Riesgos
Magerit (Espaa) Octave (EE.UU.) Cramm (Reino Unido) Microsoft (EE.UU.) Tra (Canada) Nist 800-30 (EE.UU.) Ebios (Francia) Mehari (Francia) 62 Factores en la Seleccin de la Metodologa 1. Compatibilidad con los criterios de la ISO 27001 2. Idioma del mtodo 3. Posibilidad de herramientas de software 4. Documentacin, formacin, apoyo. 5. Facilidad de uso 6. Costo de utilizacin 7. Existencia de material de comparacin (mtricas, estudios, casos, etc.) 63 FASE II Planificacin 64 Realizar evaluacin de Riesgos Conducir un anlisis entre los riesgos identificados y las medidas correctivas existentes Desarrollar un plan de tratamiento de riesgos Desarrolla la declaracin de Aplicabilidad
65 Desarrollar las actividades de planificacin requeridas por la norma de manera metodolgica y en concordancia con la poltica y objetivos del SGSI dentro del alcance del mismo. Realizar Evaluacin de Riesgos Inventario de Activos
Todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI Se debe inventariar el nombre activo, tipo, responsable y ubicacin como campos mnimos. Se debe realizar la dependencia de activos 66
Realizar Evaluacin de Riesgos Inventario de Activos
67 ESCALA VALORACION 1 Muy Alto (MA) 2 Alto (A) 3 Medio (M) 4 Bajo (B) 5 Muy Bajo (MB) Realizar Evaluacin de Riesgos Anlisis de Riesgos Anlisis de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. 68 Realizar Evaluacin de Riesgos Anlisis de Riesgos 69 Plan de Tratamiento de Riesgos 70 Seleccin de Controles y SOA
Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo. 71 Redaccin de la Declaracin de Aplicabilidad 72 FASE III Despliegue
73 Elaborar el plan de trabajo priorizado Desarrollar documentos y registros necesarios Implementar los controles seleccionados
74 Desplegar las actividades de implementacin del SGSI Plan de Trabajo del SGSI
Un plan de trabajo es un instrumento de planificacin. Estructura actividades, responsables, tiempos, recursos, generalmente se expresa por medio de un diagrama de gantt.
75 Plan de Capacitacin
1. Definir las necesidades de capacitacin 2. Diseo y planificacin de la capacitacin 3. Provisin de la capacitacin 4. Evaluacin de los resultados de la capacitacin
76 Plan de Capacitacin
77 Plan de Capacitacin
78 La gran diferencia entre la formacin y la concientizacin es que la capacitacin tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones mientras que el objetivo de concientizar es centrar la atencin en un inters individual o una serie de asuntos sobre la seguridad. Plan de Comunicacin
79 1. Determinar qu queremos conseguir, cules son nuestros objetivos. 2. Decidir a quin vamos a dirigir nuestra comunicacin. 3. Pensar cul es la idea que queremos transmitir. 4. Fijar el presupuesto con el que contamos (cunto). 5. Seleccionar los medios apropiados y su frecuencia de utilizacin. 6. Ejecutar el plan de medios y medir su impacto.
Plan de Comunicacin Partes Interesadas Clientes Proveedores Empleados Comunidades Medios de Comunicacin Inversores 80 El compromiso con las partes interesadas constituye una oportunidad para que una organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y percepciones. Controles de la ISO 17799 ahora 27002 rea 1: Poltica de seguridad. rea 2: Organizacin de la seguridad de la informacin. rea 3: Gestin de activos. rea 4: Seguridad relacionada con los recursos humanos. rea 10: Gestin de la continuidad del negocio . rea 6: Gestin de comunicaciones y operaciones. rea 7: Control de accesos. rea 8: Adquisicin, desarrollo y mantenimiento de sistemas. rea 9: Gestin de incidentes. rea 5: Seguridad fsica y del entorno rea 11: Conformidad Seguridad Organizativa Seguridad Lgica Seguridad Fsica Seguridad Legal 81 FASE IV Revisin 82 Monitorear el desempeo del SGSI Fortalecer la gestin de incidentes Desarrollar documentos y registros necesarios Desarrollar las actividades para evidenciar la mejora continua
83 Realizar actividades de revisin del SGSI evidenciando el cumplimiento de los requisitos de la norma Monitoreo Determinar los Objetivos de la Medicin La norma no indica lo que debe ser objeto de supervisin o medicin Corresponde a la empresa determinar qu es lo que necesita ser controlado y medido Es una mejor prctica centrarse en la vigilancia y medicin de las actividades que estn vinculadas a los procesos crticos que permiten a la organizacin alcanzar sus metas y objetivos de seguridad de la informacin Demasiadas medidas pueden distorsionar el enfoque de una organizacin y desenfocar lo que es verdaderamente importante 84 Monitoreo Objetivos de la Medicin
Los objetivos de la medicin en el marco de un sistema de gestin incluyen: Evaluacin de la eficacia de los procesos y procedimientos implementados; Verificacin de la medida en que los requisitos identificados de la norma se han cumplido. Facilitar la mejora del rendimiento; Aportar para la revisin de la gestin para facilitar la toma de decisiones y justificar las mejoras que necesita el sistema de gestin implementado.
85 Monitoreo Tableros de Mando 86 Gestin de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados e identificados. 2. Educar a los usuarios acerca de los factores de riesgo que podran causar incidentes de seguridad. 3. Tratar los incidentes de seguridad en la forma ms adecuada y eficaz. 4. Reducir el posible impacto de los incidentes sobre las operaciones de la organizacin. 5. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia. 6. Mejorar la seguridad de los controles de la organizacin. 87 FASE V Consolidacin 88 Auditar internamente el SGSI Implementar las acciones correctivas Implementar las acciones preventivas pertinentes Desarrollar, corregir y mejorar documentacin nueva o existente 89 Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma Auditoria Interna
1. Crear el programa de auditora interna 2. Designar al responsable 3. Establecer la independencia, objetividad e imparcialidad 4. Planificacin de las actividades 5. Asignar y administrar los recursos del programa de auditora 6. Crear procedimientos de auditora 7. Realizar actividades de auditora 8. Seguimiento de no conformidades 90 Tratamiento de Problemas y no Conformidades Definir un proceso para resolver problemas y no conformidades. Definir un procedimiento de accin correctiva. Definir un procedimiento de accin preventiva. Elaborar Planes de Accin.
91 FASE VI Certificacin 92 Definiciones de la Certificacin
Organismo de Certificacin: Terceros que realizan la evaluacin de la conformidad de los sistemas de gestin. Certificacin: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas
93 Proceso de Certificacin
1. Seleccin de la entidad certificadora. 2. Auditoria de Pre-evaluacin. 3. Etapa 1 de la auditoria, se fija en el diseo del SGSI 4. Etapa 2 de la auditoria, se lleva a cabo en la empresa. 5. Auditoria de seguimiento, si tuviera no conformidades 6. Confirmacin de la inscripcin. 94 Preguntas
95 Contactos 96 Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Rpm #963-985-125 6346000 anexo 116 2197000 anexo 5116 Call Center ongei@pcm.gob.pe 6346000 anexo 109/106 2197000 anexo 5109/5106 Soporte SGSI: Correo Electrnico: Telfonos: Contacto: Correo Electrnico: Telfonos: ONGEI Oficina Nacional de Gobierno Electrnico e Informtica www.ongei.gob.pe