Artículo: Auditoría ISO 27001: Etapas Sitio WEB: www.prosec.cl WEB: www.prosec.cl Contacto: informació
[email protected] Contacto: informació
[email protected]
Auditoría ISO 27001: Etapas
Página 2 de 4
Auditoría ISO 27001: Etapas
1. Tipos de auditoría Antes de hablar sobre las etapas de una auditoría, primero que todo debemos distinguir los tipos de auditorías que existen:
De Primera Parte (auditoría interna): Realizada por la organización a sus propios procesos y procedimientos. El objetivo es comprobar la efectividad de su Sistema de Gestión. De segunda parte (auditoría externa): La auditoria es realizada por una organización a sus proveedores y contratistas externos. El objetivo es determinar el nivel cumplimiento de los proveedores con los SLA o contratos acordados. De Tercera Parte (certificación): Es una evaluación realizada por un organismo o entidad independiente de la organización, con el objeto de obtener una certificación.
Figura 1.0: Tipos de auditoría.
Confidencialidad del Documento Toda información contenida en el documento deberá mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o arte del mismo sin la debida autorización de PROSEC .
Auditoría ISO 27001: Etapas
Página 3 de 4
2. Etapas de la auditoría: Independiente del tipo de auditoría, debemos siempre aplicar las etapas de la auditoría, en rigor, la esta se debiera realizar en 2 fases: 1- Revisión de la documentación y 2- Auditoría de Implementación o auditoría In-Situ. Ambas etapas se detallan a continuación:
Fase 1 Revisión de la documentación En esta etapa lo que se debe revisar es lo siguiente:
Documentación relacionada a Alcance. Documentación de Análisis y gestión de riesgos. Documentación relacionada al Inventario activos. Declaración aplicabilidad (SOA). Manual y políticas de seguridad. Procedimientos del SGSI. Procedimientos de seguridad que se consideren apropiados a revisar. Evaluar localizaciones, centros alternos, etc. Evaluar conocimiento del personal. Documentación relacionada al proceso de Auditorías internas y revisión por la dirección. Revisión de regulaciones y aspectos legales. Elaboración informe sobre documentación revisada. Envío del informe y del Plan de auditoría fase 2.
Fase 2 Auditoría de Implementación
Reunión de apertura en la cual se debe revisar: objetivos, alcance, personal involucrado, instalaciones a auditar y recursos. Revisión de Análisis de riesgos. Revisión exclusiones de la “declaración de aplicabilidad” y hallazgos de la revisión documental de la fase 1. Desarrollo de la auditoría según el plan Revisión de los registros de los distintos procesos de la organización, que están dentro del alcance del sistema de gestión de seguridad de la información. Registrar los hallazgos y determinar si se trata de conformidades mayores, menores o simplemente observaciones. Reunión de cierre donde se exponen los principales hallazgos.
Confidencialidad del Documento Toda información contenida en el documento deberá mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o arte del mismo sin la debida autorización de PROSEC .
Auditoría ISO 27001: Etapas
Página 4 de 4
Adicionalmente a las etapas de la auditoría, hay actividades que son claves en este proceso, me refiero a: El Programa anual de auditorías, planificación y plan de auditoría, como abordar el proceso de auditoría, listas de verificación, entre otros. Estas actividades son de suma relevancia y sobrepasan el alcance de este artículo, por lo cual si existen inquietudes respecto de estos tópicos, me pueden contactar a mi correo.
Articulo Elaborado por: Mario Correo:
[email protected]
Confidencialidad del Documento Toda información contenida en el documento deberá mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o arte del mismo sin la debida autorización de PROSEC .