La auditoría en ISO 27001

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

La auditoría en ISO 27001

La auditoría en ISO 27001

ISO 27001

ISO 27001 es una norma certificable. Una vez que la organización tenga implantado el Sistema de Gestión de la Seguridad de la información puede pasar a solicitar a una entidad certificadora acreditada una auditoría para obtener la certificación del sistema basado en ISO-27001.

Para pasar a la fase de auditoría y certificación, la organización debe contar con una experiencia de 3 meses. El proceso sigue los pasos mostrados a continuación:

pmg-auditoría

  • Solicitud de auditoría. La empresa interesada debe pedir a la entidad de certificación este hecho y ésta ha de tomar datos de la misma.
  • Oferta. La certificadora ha de responder exponiendo su oferta y compromiso para el proceso.
  • Plan de auditoría. Consiste en la designación de auditores, alcance, fijación de fechas…
  • Pre – auditoría. Si se quiere se puede realizar una auditoría previa para dar información acerca de la situación actual y dar orientación para facilitar la superación de la auditoría real.
  • Fase 1. Se trata de un análisis, por parte del auditor jefe, de la documentación básica del SGSI de la empresa cliente, resaltando los probables incumplimientos del estándar que se corroborarán en la siguiente fase. Al mismo tiempo se ha de preparar un informe de dicho análisis, que se enviará al cliente junto con el plan de auditoría. Se da un período de 2 a 6 meses para pasar a la siguiente fase.
  • Fase 2. Aquí se entra en detalle en la auditoría, se revisan las políticas, la implantación de los controles de seguridad y la eficacia del sistema. Inicialmente se tiene una reunión de apertura para revisar el objetivo, alcance, proceso, personal, instalaciones y recursos fundamentales. Seguidamente se efectúa una revisión de los hallazgos de la primera fase y de todos aquellos puntos que considere de interés el auditor. Esta fase termina con una reunión de cierre en la que se expone el informe de auditoría.
  • Certificación. Será necesario implantar acciones correctivas si se ha encontrado no conformidades durante la auditoría. Si no se detectan y se verifica la correcta implantación del SGSI de acuerdo a ISO27001, el auditor emitirá un informe favorable y el sistema será certificado.
  • Auditoría de seguimiento. La auditoría de mantenimiento debe llevarse a cabo cada seis meses o cada año, y estará centrada en partes concretas del sistema, debido a su corta duración. Tiene como finalidad comprobar el uso del SGSI y fomentar la mejora continua.
  • Auditoría de recertificación. La auditoría formal tiene una caducidad a los tres años, por lo que a esta fecha ha de repetirse todo el proceso.

El auditor va a examinar en profundidad una serie de controles clave que son:

  • Asignación de las responsabilidades en el ámbito de la seguridad.
  • Política de seguridad.
  • Formación y capacitación relativa a la seguridad.
  • Gestión de la continuidad del negocio.
  • Registro de incidencias.
  • Protección de los datos personales.
  • Derechos de propiedad intelectual.
  • Protección de registros de la organización.

La Plataforma Tecnológica ISOTools da la posibilidad, para nuestro SGSI, de originar informes que nos den a conocer debilidades, no conformidades, desviaciones y oportunidades de mejora.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…