auditoria iso 27001 etapas
TRANSCRIPT
Artculo: Auditora ISO 27001: Etapas Sitio WEB: www.prosec.cl Contacto: [email protected]
C
Auditora ISO 27001: Etapas
Pgina 2 de 4
Auditora ISO 27001: Etapas
1. Tipos de auditoraAntes de hablar sobre las etapas de una auditora, primero que todo debemos distinguir los tipos de auditoras que existen: De Primera Parte (auditora interna): Realizada por la organizacin a sus propios procesos y procedimientos. El objetivo es comprobar la efectividad de su Sistema de Gestin. De segunda parte (auditora externa): La auditoria es realizada por una organizacin a sus proveedores y contratistas externos. El objetivo es determinar el nivel cumplimiento de los proveedores con los SLA o contratos acordados. De Tercera Parte (certificacin): Es una evaluacin realizada por un organismo o entidad independiente de la organizacin, con el objeto de obtener una certificacin.
Figura 1.0: Tipos de auditora.
Confidencialidad del Documento Toda informacin contenida en el documento deber mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o parte del mismo sin la debida autorizacin de PROSEC.
Auditora ISO 27001: Etapas
Pgina 3 de 4
2. Etapas de la auditora: Independiente del tipo de auditora, debemos siempre aplicar las etapas de la auditora, en rigor, la esta se debiera realizar en 2 fases: 1- Revisin de la documentacin y 2- Auditora de Implementacin o auditora In-Situ. Ambas etapas se detallan a continuacin:
Fase 1 Revisin de la documentacin En esta etapa lo que se debe revisar es lo siguiente:
Documentacin relacionada a Alcance. Documentacin de Anlisis y gestin de riesgos. Documentacin relacionada al Inventario activos. Declaracin aplicabilidad (SOA). Manual y polticas de seguridad. Procedimientos del SGSI. Procedimientos de seguridad que se consideren apropiados a revisar. Evaluar localizaciones, centros alternos, etc. Evaluar conocimiento del personal. Documentacin relacionada al proceso de Auditoras internas y revisin por la direccin. Revisin de regulaciones y aspectos legales. Elaboracin informe sobre documentacin revisada. Envo del informe y del Plan de auditora fase 2.
Fase 2 Auditora de Implementacin
Reunin de apertura en la cual se debe revisar: objetivos, alcance, personal involucrado, instalaciones a auditar y recursos. Revisin de Anlisis de riesgos. Revisin exclusiones de la declaracin de aplicabilidad y hallazgos de la revisin documental de la fase 1. Desarrollo de la auditora segn el plan Revisin de los registros de los distintos procesos de la organizacin, que estn dentro del alcance del sistema de gestin de seguridad de la informacin. Registrar los hallazgos y determinar si se trata de conformidades mayores, menores o simplemente observaciones. Reunin de cierre donde se exponen los principales hallazgos.
Confidencialidad del Documento Toda informacin contenida en el documento deber mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o parte del mismo sin la debida autorizacin de PROSEC.
Auditora ISO 27001: Etapas
Pgina 4 de 4
Adicionalmente a las etapas de la auditora, hay actividades que son claves en este proceso, me refiero a: El Programa anual de auditoras, planificacin y plan de auditora, como abordar el proceso de auditora, listas de verificacin, entre otros. Estas actividades son de suma relevancia y sobrepasan el alcance de este artculo, por lo cual si existen inquietudes respecto de estos tpicos, me pueden contactar a mi correo.
Articulo Elaborado por: Mario Correo: [email protected]
Confidencialidad del Documento Toda informacin contenida en el documento deber mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o parte del mismo sin la debida autorizacin de PROSEC.