ISO 27001: 9.2. Auditoría interna

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

9.2. Auditoría interna

9.2. Auditoría interna

La empresa debe llevar a cabo las auditorías internas a intervalos planificados, para proporcionar información sobre el Sistema de Gestión de Seguridad de la Información:

a) Está conforme con los requisitos de la empresa para su sistema de gestión y los requisitos de la norma ISO 27001
b) Está implementado y mantenido de forma eficaz

La organización debe:

a) Planificar, establecer, implantar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes. Los programas de auditoría deben tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías
b) Para cada auditoría, definir los criterios y el alcance de ésta
c) Seleccionar a los auditores y llevar a cabo auditorías para asegurarse la objetividad y la imparcialidad del proceso de auditoría
d) Asegurase de que los resultados de las auditorías se informan a la dirección pertinente
e) Conservar información documentada como evidencia de la implantación del programa de auditoría y de los resultados de ésta