INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN 1. INFORMACIÓN GENERAL ORGANIZACIÓN INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR SITIO WEB: http://www.icbf
Author:  María Elena Luna San Segundo
0 downloads 17 Views 282KB Size
Report
DOWNLOAD PDF

Recommend Stories

INFORME PARCIAL. Licda. Ivette Rojas Ovares Auditora Interna
Informe RACE: Análisis de los Sistemas de Retención Infantil 2016
Informe RACE: Análisis de los Sistemas de Retención Infantil 2016 Sillas infantiles para automóvil 2016 Página 2 de 33 Índice 1. Resumen de los re
SISTEMAS DE REFERENCIA SISTEMAS DE COORDENADAS PROYECCIONES
ANALISIS DE SISTEMAS Carrera: Ingeniería de Sistemas
ANALISIS DE SISTEMAS Carrera: Ingeniería de Sistemas ELABORADO POR: ING. CARYULI ROSALES ING. MANUEL FINOL ING. MIRIAM LLINAS FUNDAMENTACIÓN DEL AN
OBLIGACIONES DEL PROFESIONAL O FIRMA AUDITORA
ESPECIFICACIONES TECNICAS DEL LLAMADO A SERVICIO DE AUDITORIA EXTERNA DE ESTADOS CONTABLES Y DEL ESTADO DE EJECUCION PRESUPUESTARIA, DE INGRESOS Y GAS
SISTEMAS DE ECUACIONES Y SISTEMAS DE INECUACIONES
SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS
SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS SISTEMAS DE FACHADAS Paneles de fachadas - Fibrocemento MD Painéis de fachadas – Fib
Sistemas Inteligentes en Red Informe Anual 2013
INFORME SITUACIONAL DE LOS SISTEMAS DE AGUA POTABLE, SANEAMIENTO E HIGIENE DEL DEPARTAMENTO DE CHIQUIMULA
Informe de Evaluación Intermedia. PROYECTO: Fortalecimiento de los Sistemas de Registro Civil Fase I y II
Informe de Evaluación Intermedia PROYECTO: Fortalecimiento de los Sistemas de Registro Civil – Fase I y II. Proyecto: Identidad, registro y participac

Story Transcript

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

1. INFORMACIÓN GENERAL ORGANIZACIÓN INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR SITIO WEB: http://www.icbf.gov.co LOCALIZACIÓN DEL SITIO PERMANENTE PRINCIPAL: Sede Nacional Avenida Carrera 68 No 64C - 75 Bogotá D.C., Cundinamarca, Colombia Si la certificación cubre más de un sitio permanente donde se realicen actividades del sistema de gestión, indicar la localización de cada uno. Dirección del sitio permanente No aplica

Localización (ciudad - país)

Actividades del alcance o procesos desarrollados en este sitio

ALCANCE DE LA CERTIFICACIÓN Gestión Tecnológica referente al tratamiento y administración de la información del Instituto Colombiano de Bienestar Familiar – ICBF. Pendiente CÓDIGO IAF: SI I1 CATEGORIA DE ISO/TS 22003 : No aplica REQUISITOS DE SISTEMA DE GESTION: ISO/IEC 27001:2013 REPRESENTANTE DE LA ORGANIZACION Nombre JUAN CARLOS BOLIVAR LOPEZ Cargo

DIRECTOR DE PLANEACION Y CONTROL DE GESTION

Correo electrónico TIPO DE AUDITORÍA:

INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR X Inicial o de Otorgamiento  Seguimiento  Renovación  Ampliación de alcance  Reactivación  Extraordinaria

Preparación de la auditoría y elaboración del plan Auditoría en sitio Verificación complementaria (Si aplica) EQUIPO AUDITOR Auditor líder Diego Camilo Rodriguez Auditor No aplica Experto Técnico No aplica DATOS DEL CERTIFICADO DE SISTEMA DE GESTIÓN No aplica Código asignado por ICONTEC Fecha de aprobación inicial No aplica No aplica Fecha vencimiento:

ES-P-SG-02-F-025 Versión 11

Página 1 de 11

FECHA 2015-12-01 2015-12-11 2015-12-14 2015-12-18

Días de auditoría 0.5 0.5 5.0

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

2. OBJETIVOS DE LA AUDITORÍA  Determinar la conformidad del sistema de gestión con los requisitos de la norma de sistema de gestión.  Evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales, aplicables al alcance del sistema de gestión y a la norma de requisitos de gestión.  Determinar la eficacia del sistema de gestión para asegurar que la organización puede tener expectativas razonables con relación al cumplimiento de los objetivos especificados.  Identificar áreas de mejora potencial del sistema de gestión. 3. ACTIVIDADES DESARROLLADAS 

Fecha de envío del plan de auditoría: 2015-12-01.



Los criterios de la auditoría incluyen la documentación del sistema de gestión, desarrollada en respuesta a los requisitos de la norma / documento normativo: ISO/IEC 27001:2013



¿La auditoría se realizó en forma combinada y/o integrada?: Si  No X Auditoría combinada  auditoría integrada; Si aplica, con cuáles requisitos: (Se identifica ISO 9001, 14001, OHSAS 18001, GP 1000 ó el que aplique).



¿Es aplicable la toma de muestra de sitios permanentes por múltiple sitio, según condiciones de IAF MD 1 o ISO/TS 22003, por ejemplo?: Si  No X Si se aplicó toma de muestra de múltiples sitios, indicar cuáles sitios permanentes se auditaron:



¿Si en la etapa I de la auditoría de otorgamiento el auditor líder concluyó que era necesario ajustar el tiempo de la auditoría en sitio, se ajustaron los tiempos de acuerdo con los resultados de la etapa 1? Si  No X NA 



¿En caso que algunos requisitos no sean aplicables en el justificaciones? Si X No  En caso afirmativo , describa las exclusiones

sistema de gestión, se relaciona las

 A.6.2.2. Teletrabajo: La organización no realiza teletrabajo de acuerdo a lo establecido en la ley. 

¿Se auditaron actividades en sitios temporales o fuera del sitio (Por ejemplo instalaciones de cliente, proyectos (de acuerdo al listado de contratos o proyectos entregado por la empresa)?: Si X No  NA Se auditó la mesa de servicio ubicada en la organización Carvajal Av. Eldorado 90-10. Se auditó el Datacenter principal ubicado en la organización IFX Carrera 69 No. 25B – 44 Edificio WBP, Piso 8.



La auditoría se realizó por muestreo selectivo de evidencias de las actividades y resultados de la organización y por ello tiene asociado incertidumbre por no haber verificado toda la información documentada.



¿En el caso de los esquemas en los que es aplicable el requisito de diseño y desarrollo del producto o servicio (Por ejemplo el numeral 8.3 de la nota ISO 9001), este se incluye en el alcance del certificado?:

ES-P-SG-02-F-025 Versión 11

Página 2 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

3. ACTIVIDADES DESARROLLADAS Si  No X NA  

¿Existen requisitos legales o reglamentarios aplicables al alcance de certificación? Si X No  Se verificó la capacidad de cumplimiento de los requisitos legales aplicables en el alcance del sistema de gestión establecidos en la información documentada mediante su identificación, planificación de cumplimiento, la implementación y la verificación por parte de la organización de su cumplimiento.



¿Existen requisitos legales asociados al funcionamiento u operación de la organización o los proyectos que realiza, por ejemplo habilitación, registro sanitario, licencia de funcionamiento, licencia o permisos ambientales en los que la organización sea responsable?: Si X No . En caso afirmativo, relacionar cuales fueron revisados:  

Ley 7 de 1968: Por la cual se dictan normas sobre filiación y se crea el Instituto Colombiano de Bienestar Familiar. Decreto 987 de 2012: Por el cual se modifica la estructura del Instituto Colombiano de Bienestar Familiar “Cecilia de la Fuente de Lleras” y se determinan las funciones de sus dependencias.



¿Se evidencian cambios significativos en la organización, desde la anterior auditoría, por ejemplo relacionados con alta dirección, estructura organizacional, sitios permanentes bajo el alcance de la certificación, entre otros? Si  No  NA X Si aplica, cuales:



¿Se auditaron actividades en turnos nocturnos? Si  No X Si es afirmativo descríbalas:



¿Se encontraron controlados los procesos tercerizados, cuyo resultado incide en el producto o servicio o en el alcance del sistema de gestión? Si X No . No aplica . En caso afirmativo incluir: Respecto al control: .Lo ejerce el proveedor del proceso X.Lo ejerce la organización en la recepción del resultado del proceso .El control esta compartido entre la organización y el proveedor



¿Se evidenciaron las acciones tomadas por la organización para solucionar los hallazgos clasificados como áreas de preocupación, reportados en el informe de la Etapa 1? (Aplica solo para auditorías iniciales o de otorgamiento): Si X No 



¿Se presentaron, durante la auditoría, cambios que hayan impedido cumplir con el plan de auditoría inicialmente acordado? Si  No X Si aplica, cuáles: Justificación:



¿Existen aspectos o resultados significativos que incidan en el programa de auditoría?

ES-P-SG-02-F-025 Versión 11

Página 3 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

3. ACTIVIDADES DESARROLLADAS Si  No X, Si es afirmativo describa cuáles requisitos se ven afectados: 

El equipo auditor manejó la información documentada suministrada por la empresa en forma confidencial y la retorna a la organización, en forma física o eliminó la entregada en otro medio, solicitada antes y durante el proceso de auditoría.



¿Con las actividades planificadas y realizadas, se confirma que se han cumplido los objetivos de la auditoría?. Si X No  En caso negativo, por favor describa brevemente:



Se recibió la propuesta de correcciones y acciones correctivas para la solución de no conformidades el 2015-12-XX y recibieron observaciones a su adecuación por el auditor líder.



Los planes de acción en correcciones y acciones correctivas fueron aceptados por el auditor líder el 2015-12-XX.



¿Quedaron puntos no resueltos en los casos en los cuales se presentaron diferencias de opinión sobre las NC identificadas durante la auditoría? Si  No X En caso afirmativo, por favor describa brevemente:

* 4. HALLAZGOS DE LA AUDITORÍA 4.1 Oportunidades de mejora. 

En la revisión por la dirección es importante informar como ha sido la retroalimentación de todas las partes interesada durante el periodo del tiempo, con el fin de evidenciar claramente dicho proceso. De igual forma llevar a cabo ejercicios presenciales a fin de otorgar un mayor nivel de formalidad al ejercicio.



Llevar a cabo las auditorias con personal de la organización, con el fin de aprovechar el alto conocimiento que tienen los funcionarios de los procesos del Instituto.



Incluir en la política general de seguridad de la información una frase que haga referencia al compromiso que tiene la entidad por dar cumplimiento a los requisitos legales.



En gestión de riesgos se invita a continuar mejorando la metodología, particularmente en la identificación de oportunidades derivadas de dicha gestión, de igual forma en la evaluación de los controles implementados es importante definir criterios a fin de que el ejercicio genere una mayor objetividad.



Fortalecer el proceso de documentación referente a los avances en el tratamiento de los incidentes de seguridad de la información en la herramienta “helppeople”, para evidenciar la trazabilidad del proceso y que la información sea fácilmente recuperable.



Se invita a adquirir/desarrollar una herramienta tecnológica que permita lleva a cabo la gestión de riesgos, con el fin de facilitar el proceso de documentación referente al análisis, identificación, valoración, tratamiento y evolución de los riesgos.

ES-P-SG-02-F-025 Versión 11

Página 4 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

4. HALLAZGOS DE LA AUDITORÍA  Es importante capacitar al personal que se encuentra fuera de las instalaciones (enlaces en las entidades), con el fin de garantizar que efectivamente conocen sobre las políticas y los temas referentes a la seguridad de la información. 

Definir periodicidad con las que se realizan los backup de los switches, y formalizar un cronograma que permita planificar las pruebas de restauración para todos los sistemas, a fin de fortalecer dicho control. Fortalecer el proceso de restauración para que se haga de manera preventiva y periódica como medida de fortalecimiento de este control.



Continuar fortaleciendo el proceso de continuidad del negocio particularmente en un escenario crítico que requiera la restauración de información fuera de las instalaciones a través de las cintas que se resguardan en Metrotel (Vise), Se invita a consultar la ISO 22313 “guías y medidas de implementación de ISO 22301”, de tal forma que genere un mayor nivel de conocimiento basado en las buenas prácticas de continuidad del negocio.



Se invita a adquirir/desarrollar una herramienta de gestión de las mediciones de los indicadores, objetivos del sistema de gestión y controles del SGSI, de manera que les permita recolectar mediciones y profundizar en el análisis de los resultados, respecto a su cumplimiento y variaciones con las metas propuestas, facilitado la identificación de oportunidades de mejora y la permanencia de la información en el tiempo.



Se recomienda solicitar a los proveedores de vulnerabilidades el licenciamiento de las herramientas que utilizaran para llevar a cabo dicha actividad en la institución, con el fin de reducir la probabilidad de incumplimiento de requisitos legales referentes a propiedad intelectual y derechos de autor.



Fortalecer el proceso de resguardo de la información contractual particularmente lo referente a las hojas de vida de los contratistas con el fin de que dicha información sea fácilmente recuperable cada vez que se requiera.



Es importante que antes de iniciar operación o por lo menos en la etapa de transición se alleguen los documentos necesarios donde los proveedores de mesa de servicio y soporte en sitio entre otros garantizan que el software utilizado cuenta con licencia y se da cumplimiento a los requisitos legales referentes a este tema.

4.2 Hallazgos que apoyan la conformidad del sistema de gestión con los requisitos. 

El Plan de Gestión de Cultura en Apropiación del SGSI desplegado a través de mecanismos como: miércoles de seguridad, charlas, wallpaper, folletos, afiches, pendones entre otros, ya que han fortalecido la cultura en seguridad de la información en todos los niveles de la entidad. Se destaca ampliamente el premio “ExcelGEL” obtenido en la categoría seguridad y privacidad.



Las herramientas tecnológicas como “Exinda” y “Nagios” entre otras ya que permiten modelar la calidad de los servicios y tener un monitoreo y análisis constante del comportamiento de la red de la entidad.



La herramienta tecnológica de respaldo y recuperación “EMC NetWorker” ya que centraliza, automatiza y acelera los procesos de respaldo y recuperación de información de la entidad.



Los análisis de vulnerabilidades semestrales, aseguran una alta periodicidad para que la entidad conozca sus debilidades en seguridad en materia tecnológica y las trabaje oportunamente.



Los seguimientos periódicos que se lleva al cumplimiento de los ANS de proveedores como Metrotel,

ES-P-SG-02-F-025 Versión 11

Página 5 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

4. HALLAZGOS DE LA AUDITORÍA Carvajal-Compufacil e IFX permiten controlar la prestación de servicios de TI de manera oportuna. 

La guía de desarrollo de software la cual contempla todos los pasos de construcción y aseguramiento de las aplicaciones, ya que esta basa en buenas prácticas para el desarrollo de software, se recomienda reforzar dicha guía con elementos de apoyo que se pueden encontrar en OWASP (Comunidad abierta para el desarrollo seguro de aplicaciones). Se recomienda consultar las guías de prueba de OWASP a fin de incluirlas en el proceso de prueba que realiza arquitectura.



Se destaca el proceso de auditoría interna al SGSI ya que fue muy detallado, permitiendo identificar valiosos hallazgos en la estructura de alto nivel y el anexo A de la norma, reduciendo las brechas para la auditoria de otorgamiento.



Se destaca el compromiso de la alta dirección hacia el sistema, evidenciado en la asignación de recursos para generación de cultura, fortalecimiento de la infraestructura tecnológica y asignación de personal capacitado para liderar el sistema de gestión.

5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTIÓN 5.1. Análisis de la eficacia del sistema de gestión certificado  Incluir la tendencia anual de las reclamaciones o quejas pertinentes del cliente, y/o solicitudes de las partes interesadas: (Eventos adversos para ISO 13485, recogidas de producto para ISO 9001, ISO 27001 seguridad de la información, NTC 5830, ISO 22000 y FSSC 22000 o incidentes o accidentes o emergencias en los sistemas de gestión que aplique y explique brevemente como fueron tratados (aplica a partir de la primera auditoría de seguimiento en sistemas de gestión): Para la norma ISO/IEC es relevante verificar los incidentes de seguridad de la información presentados y su recurrencia.



Incidentes de seguridad de la información en 2015:



Recurrencia de las causas asociadas a los incidentes:



Quejas presentadas en 2015 en los servicios mesa de servicio y soporte en sitio:



Recurrencia asociada a estas quejas:



¿Existían quejas de usuarios de la certificación recibidas por ICONTEC durante el último periodo evaluado? (Aplica a partir del primer seguimiento). Si  No NA X Si la respuesta es afirmativa, relacione brevemente las acciones tomadas por la organización frente a éstas quejas.



Describa brevemente la tendencia de desempeño del sistema de gestión auditado: (Tendencia de indicadores de las características claves del SG auditado, este ítem aplica a partir de la primera auditoría de seguimiento)

ES-P-SG-02-F-025 Versión 11

Página 6 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTIÓN Satisfacción del cliente en cuanto a su percepción de seguridad de la información 

Sa



¿Se evidencia la capacidad del sistema de gestión para cumplir los requisitos aplicables y lograr los resultados esperados desde la anterior auditoría de ICONTEC? (este ítem aplica a partir de la primera auditoría de seguimiento): Si X No . Si la respuesta es negativa , por favor describa brevemente la situación:



¿Los riesgos identificados previamente por la organización, en el alcance de su sistema de gestión, se han controlado de manera eficaz? Si X No  En caso positivo ¿la eficacia de control se basa en disminuir la probabilidad? Si X No . Aunque se evidencia gestión sobre los riesgos y planes de tratamiento en proceso, es importante que la organización continúe trabajando fuertemente en la reducción del Riesgo 6, denominada así: “Los servidores públicos y contratistas pueden consultar todas las pqrs de todas las regionales afectando la confidencialidad”. Los planes de tratamiento que actualmente se encuentran en ejecución deben ser revisados detalladamente en la próxima auditoria de seguimiento.



¿Se concluye que el alcance del sistema de gestión es apropiado frente a los requisitos que la organización debe cumplir? (consultar ES-P-SG-02-A-001 criterios sectoriales) Si X No . Si la respuesta es negativa , por favor explique: 5.2. Recurrencia de no conformidades detectadas en auditorías previas del ciclo de certificación A partir de la auditoría de otorgamiento o renovación, indicar contra cuáles requisitos se han reportado no conformidades y si existe recurrencia a algún requisito en particular. Auditoría Número de no conformidades Requisitos Otorgamiento / Renovación 2 A.11.2.4, A.15.2.1 1ª de seguimiento del ciclo NA NA 2ª. de seguimiento del ciclo NA NA ¿Se evidencia recurrencia de no conformidades detectadas en las auditorías de ICONTEC en el ciclo de certificación? Si  No  NA X. 5.3 Análisis del proceso de auditoría interna La auditoría interna se llevó a cabo en octubre de 2015 por un auditor externo, se verificó el perfil del auditor encontrándose competencia, de igual forma se encontró el programa de auditoría, el cubrimiento de todos los procesos, los planes de auditoría, listas de verificación e informe de auditoría. Se detectaron 17 no conformidades las cuales cuentan con análisis de causas, planes de acción que en algunos casos ya han sido implementados en su totalidad, en otros casos particularmente donde se requiere alto presupuesto ya se encuentran formulados y se implementaran en el transcurso de 2016. 5.4 Análisis de la revisión del sistema por la dirección La revisión por la dirección se llevó a cabo en noviembre de 2015, se evidencia cubrimiento de las entradas y salidas requeridas por ISO/IEC 27001, sin embargo es importante que se trabaje más en lo referente a la retroalimentación de las partes interesadas a fin de otorgar mayor información a la alta dirección. La revisión por la dirección tiene relacionamiento directo con el proceso de mejora continua.

ES-P-SG-02-F-025 Versión 11

Página 7 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

5. INFORMACIÓN RELACIONADA CON EL DESEMPEÑO Y LA EFICACIA DEL SISTEMA DE GESTIÓN

6. USO DEL CERTIFICADO DE SISTEMA DE GESTIÓN Y AUTENTICIDAD DEL CERTIFICADO  ¿El logo o la marca de conformidad de certificación de sistema de gestión de ICONTEC se usa en publicidad (página web, brochure, papelería, etc) de acuerdo a lo establecido en el reglamento ES-RSG-001 y el Manual de aplicación ES-M-SG-01? Si  No  NA X. En caso de señalar No, por favor describa la situación encontrada y repórtela al correo [email protected]

¿El logo o la marca de conformidad se usa sobre el producto, sobre el empaque o envase o embalaje del producto a la vista o cualquier otra forma que denote conformidad del producto? Si  No  NA X En caso afirmativo indicar la forma y recordar a la organización que no está permitido ese uso, de acuerdo con los requisitos de acreditación de la norma ISO/IEC 17021-1 y el ES-R-SG-001.



¿Se evidencia la adecuación de la información contenida en el certificado: vigencia del certificado, logos de organismos de acreditación, razón social registrada en documentos de existencia y representación legal, direcciones de sitios permanentes cubiertos por la certificación, alcance, etc.? Si  No  NA X En caso de señalar No, por favor describa la situación encontrada



¿Si se usa el logo del organismo de acreditación, se usa acompañado del logo de ICONTEC? Si  No  NA X En caso de señalar No, por favor describa la situación encontrada y repórtela al correo [email protected]

7. RESULTADO DE LA REVISIÓN DE LAS CORRECCIONES Y ACCIONES CORRECTIVAS PENDIENTES A continuación describa si la organización implementó o no el plan de acción establecido para solucionar las no conformidades menores pendientes y si fueron eficaces. También describa aquí las no conformidades mayores identificadas en esta auditoría, las evidencias que soportan el cierre y si fueron eficaces. NC

Descripción de la no conformidad (se relaciona el numeral y la evidencia del incumplimiento) NA

Evidencia obtenida que soporta la solución

NA

¿Fue eficaz la acción? Si/No NA

(Si las acciones tomadas no fueron eficaces después de la realización de la verificación complementaria, se debe proceder a: No otorgar, ó no ampliar ó suspender, cancelar ó no renovar).

ES-P-SG-02-F-025 Versión 11

Página 8 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

8.

#

INFORMACION RELACIONADA CON NO CONFORMIDADES Y LOS PLANES DE ACCION PARA SOLUCIONARLAS

Descripción de la no conformidad / Evidencia

Clasificación (mayor o menor)

Requisito(s) de la norma (En caso de auditoría combinada o integrada indicar la designación de la norma)

Menor

A.11.2.4

Corrección propuesta y fecha de implementación

No se mantienen los equipos para asegurar su disponibilidad e integridad continuas. Evidencia: No se encontró mantenimiento del aire acondicionado del centro de cableado y se encontraron condiciones de polución en los equipos activos que se encuentran en la sede 57. No se encontró aire acondicionado, ni sensores de humo para controlar las condiciones ambientales en el centro de cableado del piso 3 de la sede principal.

ES-P-SG-02-F-025 Versión 11

Página 9 de 11

Análisis de causas (indicar la(s) causas raíz(ces)

Acción correctiva propuesta y fecha de implementación

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

La organización no revisa y audita con regularidad la prestación de los servicios de todos los proveedores críticos para el proceso de gestión tecnológica. Evidencia: No se evidenció que durante el año 2015 se hayan realizado visitas de auditoría para verificar las condiciones en que se resguardan las cintas de backup de información por parte del proveedor Metrotel (Vise).

Menor

A.15.2.1

No se encontraron los registros de educación y experiencia que avalen al señor Andres Nieves, administrador de backup del proveedor Metrotel, según lo establecido en los requisitos contractuales.

ICONTEC revisó las correcciones, las causas identificadas y las acciones correctivas enviadas por el cliente y determino que son aceptables.

ES-P-SG-02-F-025 Versión 11

Página 10 de 11

INFORME DE AUDITORÍA DE SISTEMAS DE GESTIÓN

9. RELACIÓN DE REGISTROS ADICIONALES QUE SE DEBEN CARGAR EN EL SISTEMA INFORMÁTICO BPM (MARCAR CON UNA X LOS DOCUMENTOS QUE SE CARGAN EN BPM) – PARA USO INTERNO DE ICONTEC X NO CONFORMIDADES FIRMADAS POR EL CLIENTE (SE ANEXAN AL INFORME) NA CUESTIONARIO DE EVALUACIÓN DE FSSC 22000 (SOLO APLICA PARA ESTE ESQUEMA)

10. CONCLUSIONES DEL EQUIPO AUDITOR DE ACUERDO CON EL ES-R-SG-001 Se recomienda otorgar la Certificación del Sistema de Gestión Se recomienda no otorgar la Certificación del Sistema de Gestión Se recomienda renovar la Certificación del Sistema de Gestión Se recomienda reactivar la Certificación del Sistema de Gestión Se recomienda ampliar / reducir la Certificación del Sistema de Gestión Se recomienda no ampliar la Certificación del Sistema de Gestión Se recomienda suspender la Certificación del Sistema de Gestión Se recomienda mantener la Certificación del Sistema de Gestión Se recomienda cancelar o retirar la Certificación del Sistema de Gestión Nombre auditor líder: Diego Camilo Rodriguez FECHA: 2015

X

12

18

Este informe es propiedad de ICONTEC y se comunicará después de la auditoría únicamente a la empresa y no será divulgado a terceros sin autorización de la empresa. ES-P-SG-02-F-025 Versión 11

Página 11 de 11

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.