Blog de sarahi09

ISO Y MOPROSOFT

ISO 1901

La norma ISO 19011 llegó en el año 2002, y su denominación dentro de las normas ISO fue minuciosamente pensada y meditada, puesto que se pretendió evitar que fuese relacionada con las familias de las normas ISO 9000 e ISO 14000, pero manteniendo la relación con las normas de auditoría previas, ISO 10011 e ISO 14011.

Los dos primeros dígitos de la norma (19xxx) corresponde al número que se encontraba disponible en el momento en que se realizó el trabajo, mientras que los otros tres que la componen (xx011) se mantuvieron de las anteriores normas mencionadas. Por otro lado, el número 19011 puede entenderse como una simbología que defiende el proyecto más allá de la grieta actual entre la gestión de calidad y ambiental.

La nueva revisión de 2011 de la ISO 19011 tiene un mayor alcance que su predecesora, puesto que ahora se considera su aplicación a cualquier sistema de gestión y anteriormente el documento se acotaba a sistemas de gestión de calidad y de gestión ambiental.

La ISO 19011 cuenta con dos anexos que proporcionan una serie de información de gran utilidad, la cual ayuda a mejorar el valor agregado que aportan las auditorías a los sistemas y las organizaciones.

En el documento se clarifica la diferencia entre la ISO 19011 2011 y la ISO 17021 2011. Principalmente, la ISO 19011 2011 es aplicable a auditorías no financieras ni contables, mientras que la ISO 17021 2011 es aplicable estrictamente a auditorías de tercera parte con fines de certificación.

Principales cambios

 Los principales cambios que ha experimentado el documento son:

 Definir la diferencia entre las normas ISO 19011 e ISO 17021.

 Introducir el concepto de gestión de riesgo a la auditoría, así como la referencia a la utilización de métodos remotos de auditoría.

 Agregar la confidencialidad como un nuevo principio y sustituir el principio de conducta ética por la integridad.

 Reorganizar los capítulos 5, 6 y 7 de la norma.

 Reforzar el tema de competencias y el proceso de su evaluación. Establecer un mayor perfil a las funciones del administrador del Programa de Auditorías.

Presentar en el Anexo B ejemplos ilustrativos de conocimientos y habilidades concretas para un mayor rango de disciplinas.

Agregar nuevas definiciones y cambiar la redacción de otras.

Elementos de la ISO 19011

Es significativo hacer referencia a que la norma ISO 19011 no establece ningún tipo de requisito, sino que sirve de guía para la gestión del programa de auditorías, así como para la planeación y realización de las mismas, junto con las competencias y evaluación del equipo auditor. La norma se divide en cuatro capítulos principales, que son los siguientes:

 Principios de auditoria

 Gestión del programa de auditoria

 Realización de una auditoria

 Competencia y evaluación de auditores

Principios de auditoria

Estos principios deben apoyar a la organización para alcanzar auditorías efectivas y de confianza que sirvan como herramientas para la gestión de políticas y controles.

Las directrices que se establecen en los capítulos 5 al 7 de la norma se basan en los siguientes principios:

 Integridad. Como base del profesionalismo.

 Presentación honesta. Obligación de presentar los resultados de una forma veraz y detallada.

 Cuidado profesional. Aplicación del debido cuidado y juicio durante la auditoria

 Confidencialidad. Manejo seguro de la información.

 Independencia. Como base de la imparcialidad de la auditoria y la objetividad de las conclusiones de la misma.

 Enfoque basado en evidencia. Método racional para alcanzar conclusiones de la auditoria de confianza y repetibles, mediante un proceso de auditoria sistemático.

Gestión del programa de auditoria

Una organización que precise de realizar auditorías deberá definir un programa que se apoye en la determinación de la efectividad del sistema de gestión del auditado. Este programa puede incorporar la auditoría a uno o más sistemas de gestión, tanto de forma independiente como combinadas.

El programa debe definir los recursos necesarios para realizarlo de forma efectiva, además de la siguiente información:

Realización de una auditoria

 Objetivo de la auditoría

 Extensión/número/duración/localidades a ser auditadas

 Procedimientos del programa de auditorías

 Criterios de auditoría

 Métodos de auditoría

 Selección del/os equipo/s de auditoría

 Recursos necesarios

 Procesos para el manejo confidencial de la información

Esta cláusula define las guías para organizar y realizar una auditoría conforme al programa establecido.

Competencia y evaluación de auditores

La confianza en el proceso de auditoría y la habilidad para alcanzar sus objetivos obedece a la competencia de las personas involucradas en la planeación y realización de las auditorías, incluyendo al equipo auditor y al líder del mismo.

La competencia debe ser evaluada mediante el comportamiento personal y capacidad para aplicar el conocimiento y habilidades obtenidas mediante la educación, la experiencia laboral, capacitación como auditor, entrenamiento y experiencia en auditorías.

El proceso de evaluación debe incorporar las siguientes etapas:

1. Establecer la competencia del personal auditor para cumplir con las necesidades del programa de auditoría

2. Determinar los criterios de evaluación

3. Escoger el método apropiado de evaluación

4. Realizar la evaluación

El resultado de este proceso debe proveer las bases para:

 Seleccionar los miembros del equipo auditor

 Determinar la necesidad para mejorar las competencia

 Evaluar permanente el desempeño de los auditores

NORMA ISO-9126

ISO 9126 es un estándar internacional para la evaluación del Software, fue originalmente desarrollado en 1991 para proporcionar un esquema para la evaluación de calidad del software.

La normativa define seis características de la aplicación, estas seis características son dividas en un número de sub- características, las cuales representan un modelo detallado para la evaluación de cualquier sistema informático.

CARACTERÍSTICAS NORMA ISO 9126

El modelo establece diez características, seis que son comunes a las vistas interna y externa y cuatro que son propias de la vista en uso.

A continuación se describen las características y subcaracterísticas propias de este estándar que se encuentran dentro de las vistas interna y externa, las cuales usaremos para evaluar el software de CMI.

Funcionalidad: capacidad del software de proveer los servicios necesarios para cumplir con los requisitos funcionales.

Subcaracterísticas:

Idoneidad.- Hace referencia a que si el software desempeña las tareas para las cuales fue desarrollado. Exactitud.- Evalúa el resultado final que obtiene el software y si tiene consistencia a lo que se espera de él. Interoperabilidad.- Consiste en revisar si el sistema puede interactuar con otro sistema independiente. Seguridad.- Verifica si el sistema puede impedir el acceso a personal no autorizado.

Fiabilidad: capacidad del software de mantener las prestaciones requeridas del sistema, durante un tiempo establecido y bajo un conjunto de condiciones definidas.

Subcaracterísticas:

Madurez.- Se debe verificar las fallas del sistema y si muchas de estas han sido eliminadas durante el tiempo de pruebas o uso del sistema.

Recuperabilidad.- Verificar si el software puede reasumir el funcionamiento y restaurar datos perdidos después de un fallo ocasional. Tolerancia a fallos.- Evalua si la aplicación desarrollada es capaz de manejar errores.

Usabilidad: esfuerzo requerido por el usuario para utilizar el producto satisfactoriamente.

Subcaracterísticas:

Aprendizaje.- Determina que tan fácil es para el usuario aprender a utilizar el sistema. Comprensión.- Evalúa que tan fácil es para el usuario comprender el funcionamiento del sistema Operatividad.- Determina si el usuario puede utilizar el sistema sin mucho esfuerzo. Atractividad.- Verifica que tan atractiva se ve la interfaz de la aplicación.

Eficiencia: relación entre las prestaciones del software y los requisitos necesarios para su utilización.

Subcaracterísticas:

Comportamiento en el tiempo.- Verifica la rapidez en que responde el sistema Comportamiento de recursos.- Determina si el sistema utiliza los recursos de manera eficiente

Mantenibilidad: esfuerzo necesario para adaptarse a las nuevas especificaciones y requisitos del software.

Subcaracterísticas:

Estabilidad. - Verifica si el sistema puede mantener su funcionamiento a pesar de realizar cambios.

Facilidad de análisis.- Determina si la estructura de desarrollo es funcional con el objetivo de diagnosticar fácilmente las fallas. Facilidad de cambio.- Verifica si el sistema puede ser fácilmente modificado Facilidad de pruebas.- .- Evalúa si el sistema puede ser probado fácilmente

Portabilidad: capacidad del software ser transferido de un entorno a otro.

Subcaracterísticas:

Capacidad de instalación. - Verifica si el software se puede instalar fácilmente Capacidad de reemplazamiento.- Determina la facilidad con la que el software puede remplazar otro software similar. Adaptabilidad.- El software se puede trasladar a otros ambientes Co-Existencia.- El software puede funcionar con otros sistemas

Cada una de las características debe ser evaluada dentro del software basándonos en pruebas de funcionamiento, medición de rendimiento y pruebas con usuarios que harán uso del sistema.

.

ISO 10006

ISO 10006 no es una guía para la” gestión de proyectos” en sí, es una orientación sobre la calidad en los procesos de gestión de proyectos. Se recomienda la combinación de la norma ISO 10006 y el PMBOK para asegurar que los proyectos sean exitosos.

La Organización Internacional para la Normalización dio a conocer un nuevo estándar en el otoño del 2003, es conocida como la “norma ISO 10006:2003, Directrices para la Gestión de la Calidad en Proyectos”, que es la creación actual de la gestión de proyectos y altamente beneficio si se considera en la planificación de proyectos.

Descripción general de la norma ISO 10006: 2003 Standard

IS0 10006 es una guía que resume los principios y prácticas de gestión de calidad en lo que respecta a la gestión de proyectos. Proporciona la orientación sobre problemas de calidad que tienen los proyectos de impacto. Es aplicable a proyectos de diversa complejidad, tamaño y longitud. Las directrices se pueden aplicar a los proyectos gestionados por un individuo o por un equipo de trabajo, incluso de un programa (proyecto grande, que se compone de proyectos más pequeños, pero relacionados entre sí) o de una cartera de proyectos.

Dado que la norma ISO 10006 es un documento de orientación, su intención no es para su uso en los propósitos de certificación o registro. Su objetivo

general es crear y mantener la calidad en los proyectos a través de un proceso sistemático que asegura:

 Necesidades expresadas o implícitas de los clientes

 Necesidades de las partes interesadas

 Política de calidad de la organización que incorpora la gestión de proyectos.

Project Management Institute (PMI)

El Project Management Institute, o PMI como se le conoce, es la principal asociación profesional sin fines de lucro en el mundo creada para la gestión de proyectos, dedicada al avance profesional de la gestión de proyectos.

PMBOK

PMBOK es una guía para la Dirección de Proyectos del PMI. En él se describe a detalle todos los procesos necesarios para llevar acabo un proyecto de inicio a fin, el conocimiento y las prácticas descritas son aplicables a la mayoría de los proyectos, la mayor parte del tiempo, y existe una amplia aceptación sobre su valor y utilidad. El propósito general del PMBOK es proporcionar un léxico común dentro de la profesión de gestión de proyectos y la práctica para hablar y escribir sobre la gestión de proyectos.

Norma ISO 10006 y el PMBOK

Hay mucha discusión acerca de si un proyecto debe seguir el PMBOK o las directrices de la norma ISO 10006 o ambos. A través de esta comparación e interpretación de cada una de las secciones principales voy a dar algunas respuestas a esta pregunta:

¿Qué es un Proyecto?

La ISO 10006 define un proyecto, de manera más amplia, aunque correcta. La definición del PMBOK es más concisa y va al grano.

“Tiempo”, según el PMBOK, significa que debe haber una fecha de inicio y fin para el proyecto. A su vez, PMBOK incluye la definición de que “Todos los proyectos deben entregar un producto, servicio o cualquier otro resultado final medible.” La norma ISO 10006 se centra en el proceso de llegar al resultado.

¿Qué es un Plan de Calidad?

Las definiciones que la norma ISO 10006 Y PMBOK proporcionan para la identificación de los estándares de calidad son similares. Todos los proyectos

deben identificar la política de calidad y las normas que se aplican y cómo el equipo de gestión de proyecto implementará su política de calidad. Estas normas se ponen entonces en el plan de proyecto con un proceso que se puede identificar si el equipo está gestionando el proyecto de acuerdo con la política de calidad que se ha establecido.

ISO 27000

Es una familia de estándares internacionales para sistemas de Gestión de la seguridad de la información que proporcionan un marco de gestión de la seguridad de la información.

ISO/IEC 27001:

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

ISO/IEC 27002:

Publicada desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

ISO/IEC 27003:

Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de 2017. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en iso.org.

ISO/IEC 27004:

Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de 2016. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. El original en inglés puede adquirirse en iso.org.

ISO/IEC 27005:

Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-

MOPROSOFT

Es una norma mexicana, basada en procesos para las industrias de software, la cual sirve para estandarizar operaciones y prácticas en gestión de ingeniería de software, para así elevar la capacidad de las organizaciones de ofrecer servicios con calidad y alcanzar niveles internacionales de competitividad. Está enfocado a las PyMes de la Industria de Software en México. Está dirigido a las empresas o áreas internas dedicadas al desarrollo y/o mantenimiento de software.


Comentarios

No hay ningún comentario

Añadir un Comentario: