UNIVERSIDAD COOPERATIVA DE COLOMBIA

TALLER DE AUDITOR INTERNO EN SGSI – ISO 27001

Registro de no conformidades y observaciones

INTRODUCCIÓN

Este ejercicio consta de dos partes y se relaciona con el registro de no conformidades,

oportunidades de mejora y observaciones, y con la determinación de la suficiencia de las
respuestas brindadas por la organización auditada.

Desarrollo del ejercicio:

PARTE 1 - INFORME

Tendrá a su disposición:

· La descripción de un incidente que se presenta en una auditoría de tercera parte.

· Formularios para informar una no conformidad, oportunidad de mejora u observación.

Deberá leer el texto y hacer lo siguiente:

Completar un informe de no conformidad y sus características.

Si considera que es una oportunidad de mejora o una observación, registrarlo en el formulario en

forma detallada y clara.

Elija la redacción más adecuada para el registro, sea lo más preciso que pueda.

Luego, presente los resultados al grupo.

TIEMPO PERMITIDO

El tutor asignará el tiempo permitido.

CRÍTICA

El docente recopilará los resultados, los evaluará y brindará una respuesta individual y grupal
cuando sea necesario.
 CURSO DE AUDITOR INTERNO EN SGSI
PARTE 1 - DESCRIPCIÓN DE LOS INCIDENTES

INCIDENTE 1

El auditor pregunta si alguien utiliza equipo de computación móvil porque ha visto un portátil o
notebook en la oficina del Director Ejecutivo, pero no hay ninguna en el inventario. Le contestan
que el Director Ejecutivo tiene una notebook que, a veces, también utiliza en su casa. Cuando
pregunta para qué la utiliza, le dicen que el Director Ejecutivo la usa para buscar información
financiera en Internet, para hacer los presupuestos y para enviar correos electrónicos en forma
ocasional. El auditor pregunta si puede conectarla a la red de la empresa, y le aseguran que no, ya
que no hay conexión por línea wifi a la red. Al preguntar cómo imprime la información, le dicen que
el Director Ejecutivo le da una USB flash drive a la secretaria, quien carga la información en su PC
y la imprime en la impresora de red.

No conformidad según los numerales de la norma ISO 27001:2013?

INCIDENTE 2

El auditor camina por la empresa y encuentra varios detectores de humo. Están operativamente
listos y actualizados. Cuando el auditor prueba su funcionamiento, rápidamente detectan el humo
de un pequeño encendedor. Los detectores de humo están conectados a la guardia central. El
auditor espera cinco minutos hasta que el guardia llega al detector de humo. El guardia le dice que
tuvo que estudiar el plano de construcción de la planta para poder ubicar al detector de humo.

No conformidad según los numerales de la norma ISO 27001:2013?

INCIDENTE 3

Durante la inspección a un centro de datos, el auditor examina el sistema de alimentación

ininterrumpida. Todo parece estar bien. Ante un corte de energía, se activa una unidad generadora
que funciona a diesel y brinda la energía suficiente para que el centro de datos funcione por un
período aproximado de seis horas. Sólo la red normal de telecomunicaciones queda sin funcionar
(se pueden hacer llamadas de emergencia).

No conformidad según los numerales de la norma ISO 27001:2013?

 CURSO DE AUDITOR INTERNO EN SGSI
Si cree que existen pruebas de una no conformidad, complete este informe:

AUDITORÍA IRCA SGSI

INFORME DE NO CONFORMIDAD .....................

Empresa auditada: No conformidad N.º: ................................

Área revisada: Cláusula de ISO 27001 N.º

Categoría: GRAVE* LEVE* * borre una
No conformidad:

Auditor

o
Si no considera que existan pruebas suficientes de la no conformidad, explique las razones que lo
llevaron a tomar esa determinación y consigne qué otras acciones deberían tomar el auditor.
 CURSO DE AUDITOR INTERNO EN SGSI
Si cree que existen pruebas de una no conformidad, complete este informe:

AUDITORÍA IRCA SGSI

INFORME DE NO CONFORMIDAD .....................

Empresa auditada: No conformidad N.º: ................................

Área revisada: Cláusula de ISO 27001 N.º

Categoría: GRAVE* LEVE* * borre una
No conformidad:

Auditor

o
Si no considera que existan pruebas suficientes de la no conformidad, explique las razones que lo
llevaron a tomar esa determinación y consigne qué otras acciones deberían tomar el auditor.
 CURSO DE AUDITOR INTERNO EN SGSI
Si cree que existen pruebas de una no conformidad, complete este informe:

AUDITORÍA IRCA SGSI

INFORME DE NO CONFORMIDAD .....................

Empresa auditada: No conformidad N.º: ................................

Área revisada: Cláusula de ISO 27001 N.º

Categoría: GRAVE* LEVE* * borre una
No conformidad:

Auditor

o
Si no considera que existan pruebas suficientes de la no conformidad, explique las razones que lo
llevaron a tomar esa determinación y consigne qué otras acciones deberían tomar el auditor.