Cómo escribir un informe de auditoría interna para ISO 27001

Una estructura de informe de auditoría interna para ISO 27001 es algo que necesita saber.

Crear un informe de auditoría interna eficaz y profesional es esencial para cualquier implementación exitosa de ISO 27001.

Un informe de auditoría interna de buena calidad es una instantánea del proceso de implementación general y registra el estado de su implementación de ISO 27001 en el período previo a la certificación, junto con detalles de las áreas que aún deben abordarse.

Como parte de requisitos del sistema de gestión, La Cláusula 9.2 detalla lo que se debe hacer con respecto a las auditorías internas. Esto incluye el requisito de conservar evidencia documentada de todo el proceso de auditoría y los resultados de la auditoría, y esto se hace mediante un informe de auditoría.

imagen de cta

Mira lo sencillo que es con ISMS.online

Reserva tu demostración

¿Qué es una auditoría interna ISO 27001?

Una auditoría interna ISO 27001 implica que un auditor competente y objetivo revise el SGSI o elementos del mismo y pruebe que cumple con los requisitos de la norma, los requisitos de información propios de la organización y los objetivos para el SGSI y que las políticas, procesos y otros controles sean efectivo y eficiente.

Además de la Cumplimiento y eficacia generales del SGSI., dado que ISO 27001 está diseñada para permitir que una organización gestione sus riesgos de seguridad de la información a un nivel tolerable, será necesario comprobar que los controles implementados realmente reducen el riesgo hasta un punto en el que los propietarios del riesgo estén felices de tolerar los riesgos. riesgo residual.

Auditoría interna para el requisito 27001 de la norma ISO 9.2

Cláusula 9.2 mandatos de auditoría interna:

La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de seguridad de la información:

  • Se ajusta a los requisitos propios de la organización para su seguridad de la información sistema de gestión y los requisitos de esta norma internacional.
  • Se implementa y mantiene efectivamente.

La organización deberá:

  • Planificar, establecer, implementar y mantener un programa(s) de auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes. El programa o programas de auditoría tendrán en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores.
  • Definir los criterios de auditoría y el alcance de cada auditoría.
  • Seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría.
  • Garantizar que los resultados de las auditorías se informen a la dirección pertinente y conservar información documentada como evidencia del programa(s) de auditoría y de los resultados de la auditoría.

El objetivo de una auditoría interna es confirmar que la organización ha tomado todas las precauciones razonables para garantizar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares ISO 27001 y los propios estándares SGSI de la organización.

Las auditorías internas deben ser realizadas por un auditor independiente e imparcial. para lograrlo, según la Norma.

¿Cómo funcionan las auditorías internas ISO 27001?

Auditorías internas para ISO 27001 funciona siguiendo un programa de auditoría que identifica las auditorías a realizar antes de la certificación y durante cada período de certificación.

Requieren la selección de un competente y objetivo auditor para realizar cada auditoría interna verificando el cumplimiento de los requisitos de la norma, los requisitos de información propios de la organización y los objetivos para el SGSI, y que las políticas, procesos y otros controles sean efectivos y eficientes.

Actividades incluidas dentro de una auditoría interna:

  • Revisión de la documentación
  • Muestreo evidencial
  • Entrevistar al personal con llave responsabilidades de seguridad de la información
  • Entrevistar a otro personal (y posiblemente a contratistas)
  • Evaluación de los hallazgos
  • Redacción del informe de auditoría

¿Con qué frecuencia necesito realizar una auditoría?

Si bien no está claro en la propia ISO 27001 la frecuencia con la que se deben realizar las auditorías internas, se espera que el programa de auditoría siga los mismos requisitos que los impuestos a los organismos de certificación para realizar sus auditorías de acuerdo con ISO / IEC 27006: 2015 – Requisitos para los organismos que proporcionan auditoría y certificación de SGSI.

Dentro del requisito 27006e de ISO 9.1.5.2 se establece que el programa de auditoría "cubre muestras representativas del alcance de la certificación SGSI dentro del período de tres años".

Por lo tanto, es necesario realizar Auditorías internas que cubren toda la norma., como mínimo, durante el período de certificación (3 años para certificados acreditados por UKAS).

Podría hacer esto como una auditoría única, pero generalmente se divide en auditorías más pequeñas durante un período de 3 años. También es importante auditar algunas áreas con mayor frecuencia si los niveles de riesgo son altos o el área está sujeta a cambios frecuentes.

Se recomienda que usted auditar el sistema de gestión requisitos (Cláusulas 4 a 10) anualmente y esto puede vincularse a su revisión de gestión del SGSI, que también debe realizarse anualmente. Es posible que algunas organizaciones con sistemas de gestión sofisticados y bien establecidos deseen organizar auditorías en un ciclo de tres años en lugar de anualmente.

Sin embargo, cada empresa debe examinar cuidadosamente sus procesos, sistemas de gestión y otros criterios pertinentes para desarrollar un cronograma sensato que satisfaga sus demandas y sea apropiado para ellas. En ISMS.online, nuestra plataforma basada en la nube está diseñada para ayudar con el proceso de auditoría.

Proporcionamos un área de trabajo del Programa de Auditoría prediseñada que incluye:

  • Actividades para 2 auditorías recomendadas previas a la certificación
  • Un plan de auditorías internas para el primer período de certificación de 3 años.
  • Marcadores de posición para su certificación externa y auditorías periódicas

Solicite una demostración hoy para ver cómo nuestro La solución puede ayudar a su organización a demostrar el cumplimiento de la norma ISO 27001..

Todas las personas a las que hemos ayudado a optar por la ISO 27001 aprobaron la primera vez. Tú también podrías.
Reserva tu demostración

¿Por qué necesito crear un informe para una auditoría interna?

La norma requiere que usted documente los resultados de la auditoría: la cláusula 9.2 de la norma ISO 27001 incluye el requisito de "conservar información documentada como evidencia de los......... resultados de la auditoría". Esto se hace dentro de un Informe de Auditoría.

Qué se debe hacer al preparar el informe

Para cada auditoría, deberá planificar:

  • Qué cubrirá la auditoría: qué sección(es) de la norma, ubicaciones, procesos comerciales, etc.
  • Quién será el auditor: debe ser competente y objetivo.
  • Cuándo se realizará la auditoría: no debe tener un impacto adverso significativo en el funcionamiento de la organización.
  • Los métodos de auditoría: revisión de documentación, muestreo, entrevistas, etc.
  • ¿Quién deberá participar en la auditoría?

Revisión de la documentación

Cada auditoría requerirá la revisión de la documentación relevante, incluidas políticas, procedimientos, estándares y guías relevantes para el área o áreas de la norma que se está auditando. Es una buena práctica informar a quienes están siendo auditados sobre las áreas que deben cubrirse para que puedan garantizar un acceso fácil y oportuno a la documentación relevante.

En ISMS.online, esto se facilita al tener la documentación dentro del sistema o al vincularla dentro de la sección correspondiente del estándar.

Muestreo probatorio y entrevistas

La mayoría de las auditorías requerirán el muestreo de evidencia en mayor o menor grado y esto puede incluir entrevistas al personal clave relevante, a los usuarios finales y, a veces, incluso al personal temporal y a los contratistas.

Las fuentes de muestreo pueden incluir, por ejemplo:

  • Entrevistas con empleados y otras personas.
  • Observaciones de las actividades y del entorno y condiciones de trabajo circundantes.
  • Documentos, tales como políticas, objetivos, planes, procedimientos, normas, instructivos, licencias y permisos, especificaciones, planos, contratos y pedidos.
  • Registros, como registros de inspección, actas de reuniones, informes de auditoría, registros de programa de seguimiento y resultados de las mediciones.
  • Resúmenes de datos, análisis e indicadores de desempeño.
  • Información sobre los planes de muestreo del auditado y sobre los procedimientos para el control de los procesos de muestreo y medición.
  • Informes de otras fuentes, por ejemplo, comentarios de clientes, encuestas y mediciones externas, otros datos relevantes. información de terceros y proveedores Las calificaciones.
  • Bases de datos y sitios web.
  • Simulación y modelado.

ECONOMÉTRICOS

Una vez realizada la recopilación de datos para la auditoría, será necesario que el auditor evalúe y analice los hallazgos para determinar si existen no conformidades u oportunidades de mejora.

Los hallazgos normalmente se clasifican como uno de los siguientes:

  • No conformidad mayor
  • No conformidad menor
  • Oportunidad para mejora

Algunos organismos de certificación también utilizan:

  • Observación – que es donde hay indicios tempranos de que puede existir o desarrollarse una no conformidad menor si no se toman medidas.
  • Punto positivo – otorgado cuando una organización ha ido más allá de las buenas prácticas reconocidas o cuando ha habido una mejora significativa en un área desde la auditoría anterior.

Informes

Una vez analizados los hallazgos, ahora se puede preparar el informe de auditoría y presentarlo a la persona o equipo responsable del SGSI para su revisión y seguimiento.

¿Cómo se prepara un informe de auditoría interna?

El informe de auditoría debe prepararse como información documentada, pero esto no significa que tenga que ser un documento Word o PDF separado. Dentro de Plataforma en línea ISMS Tratamos de fomentar que se evite la creación de dichos documentos, pero en su lugar proporcionamos un área de trabajo en la que el informe se puede documentar directamente y esta área proporciona funcionalidad adicional, incluida la capacidad de vincularse fácilmente a otras áreas de trabajo, políticas, controles, riesgos y acciones correctivas. y “boletos” de mejora, y más.

Crear un resumen ejecutivo

El resumen ejecutivo es útil para que la alta dirección pueda ver rápida y fácilmente una descripción general de los hallazgos, incluidos posibles problemas críticos, tendencias y oportunidades de mejora. Esto luego se puede vincular fácilmente a la revisión de la gestión del SGSI de acuerdo con la Cláusula 9.3.

Esto generalmente incluirá:

  • Una visión general del funcionamiento de las áreas del SGSI cubiertas en la auditoría.
  • Un resumen numérico de las categorías de hallazgos.
  • Destacar cualquier hallazgo urgente/crítico.
  • Una breve descripción de los próximos pasos a seguir para abordar cualquier hallazgo.

Introducir la terminología utilizada.

Para garantizar que exista una comprensión común de los hallazgos del informe, es necesario incluir las definiciones de alguna terminología utilizada que sea específica de la organización, el proceso de auditoría o la norma. Recuerde, no todos los que necesiten leer, evaluar y comprender el informe comprenderán necesariamente toda la terminología utilizada.

Describir el plan de auditoría

Esto incluirá:

  • El alcance de la auditoría: áreas a cubrir, ubicaciones, personal, procesos comerciales, etc.
  • El nombre del auditor(es)
  • Las fechas, horas y lugares de la auditoría.

Describir los hechos encontrados

Para cada sección de la auditoría, los hallazgos deben documentarse incluyendo notas de cualquier muestra de evidencia tomada.*

Es una buena práctica registrar el cumplimiento y los puntos positivos, así como documentar cualquier no conformidad u oportunidad de mejora. Los hallazgos deben registrar los hechos encontrados relevantes para el SGSI y el estándar y no deben incluir opiniones o conjeturas más allá de una extrapolación razonable.

 

*Nota: si las muestras probatorias contienen información de identificación personal, es una práctica habitual seudonimizar o anonimizar los datos de acuerdo con los requisitos de la legislación de privacidad, como RGPD.

 

Documentar no conformidades y oportunidades de mejora.

Cuando se identifiquen no conformidades y oportunidades de mejora, estas deben documentarse claramente para que las acciones correctivas y los elementos de mejora puedan registrarse y gestionarse a través de los procesos reconocidos de la organización según lo documentado de acuerdo con la Cláusula 10.1 No conformidades y acciones correctivas; y 10.2 Mejora continua.

Describir recomendaciones

Como se trata de un informe de auditoría interna, está permitido que un auditor haga recomendaciones sobre cómo se podrían abordar los hallazgos, pero en última instancia, las decisiones relacionadas con las acciones correctivas y las mejoras deben ser tomadas por las personas o equipos relevantes responsables del SGSI y la seguridad de la información. .

Cómo ISMS.online facilita la presentación de informes

La plataforma ISMS.online prescinde de la necesidad de crear documentos de Word, PDF y hojas de cálculo al proporcionar una solución todo en uno para documentar y vincular fácilmente todos los aspectos del SGSI, incluida la documentación de los informes de auditoría.

ISMS.online incluye un proyecto de programa de auditoría prediseñado que cubre auditorías internas y externas.

El programa de auditoría prediseñado incluye:

  • Actividades para 2 auditorías recomendadas previas a la certificación
  • Un plan de auditorías internas para el primer período de certificación de 3 años.
  • Marcadores de posición para su certificación externa y auditorías periódicas

Cada actividad de auditoría interna contiene una plantilla para un plan e informe de auditoría combinados.

Antes de realizar la auditoría, la plantilla actúa como plan de auditoría, incluyendo qué áreas se van a auditar y proporcionando indicaciones para registrar cuándo se realizará la auditoría y quién la realizará.

Durante o después de la realización de la auditoría, el auditor puede escribir notas directamente en la plantilla de actividad de auditoría.

Además de simplemente proporcionar las plantillas de actividades de auditoría, ISMS.online brinda la capacidad de vincularse rápidamente a otras áreas de trabajo dentro de la plataforma, lo que significa que vincular los hallazgos de la auditoría con los controles, las acciones correctivas y las mejoras, e incluso con los riesgos, resulta fácil y accesible. Esto le permitirá demostrar fácilmente a su auditor externo la gestión conjunta de los hallazgos identificados.

¿Necesita ayuda con su auditoría ISO 27001?

¿Va a iniciar pronto una auditoría ISO 27001 y se siente estresado por ello? Es natural sentirse así, ya que realizar una auditoría ISO 27001 es un paso muy serio.

Los expertos de ISMS.online pueden ofrecerle el mejor servicio posible. Podemos respaldar la auditoría y el informe de su sistema de gestión, brindarle asesoramiento sobre seguridad de la información y estrategias de mitigación de riesgos, brindar capacitación a su personal o ayudarlo con un análisis de brechas de sus controles existentes.

Solicite una demostración hoy.

Listos para actuar?

Reserva tu demostración

imagen de cta

 

« ISO 27001 – Anexo A.9: Control de acceso

Cómo prepararse para una auditoría interna ISO 27001: la perspectiva del auditado »

Última edición: 20 de junio de 2022
Autor

Marcos Sharron

Mark trabaja como parte del equipo de marketing de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001 y su cumplimiento.

Ver todas las publicaciones de Mark Sharron

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más