Como parte de los requisitos del sistema de gestión, Cláusula 9.2 detalla lo que se debe hacer con respecto a las auditorías internas. Esto incluye el requisito de retener evidencia documentada de la auditoría resultados, y esto se hace a través de un informe de auditoría.
An ISO 27001 La auditoría interna implica que un auditor competente y objetivo revise la ISMS o elementos del mismo y probando que:
Además del cumplimiento y eficacia general del SGSI, como ISO 27001 está diseñada para permitir a una organización gestionar la seguridad de su información. Para llevar los riesgos a un nivel tolerable, será necesario comprobar que los controles implementados realmente reducen el riesgo hasta un punto en el que los propietarios del riesgo estén dispuestos a tolerar el riesgo residual.
Cláusula 9.2 Mandatos de auditoría interna:
“La organización deberá realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de seguridad de la información:
a) se ajusta a
b) se implementa y mantiene efectivamente.
La organización deberá:
c) planificar, establecer, implementar y mantener un programa(s) de auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes. El programa o programas de auditoría tendrán en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores;
d) definir los criterios de auditoría y el alcance de cada auditoría;
e) seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
f) garantizar que los resultados de las auditorías se informen a la dirección correspondiente; y
g) conservar información documentada como evidencia del programa o programas de auditoría y de los resultados de la auditoría”.
Descargue su guía gratuita para una certificación rápida y sostenible
Solo necesitamos algunos detalles para que podamos enviarle por correo electrónico su guía para lograr la norma ISO 27001 por primera vez.
Descargue su guía gratuita ahora y si tiene alguna pregunta, entonces Solicito una demo or Contáctenos. Estaremos encantados de ayudarte.
Las auditorías internas para ISO 27001 funcionan siguiendo un programa de auditoría que identifica las auditorías que se realizarán antes de la certificación y durante cada período de certificación.
Se Requerir la selección de un auditor competente y objetivo para realizar cada auditoría interna. verificar el cumplimiento de los requisitos de la norma, los requisitos de información propios de la organización y los objetivos para el SGSI, y que las políticas, procesos y otros controles sean efectivos y eficientes.
Actividades incluidas dentro de una auditoría interna:
Si bien no está claro en la propia ISO 27001 la frecuencia con la que se deben realizar auditorías internas. Se espera que el programa de auditoría siga los mismos requisitos que los impuestos a los organismos de certificación para realizar sus auditorías según ISO/IEC 27006:2015 – Requisitos para organismos que realizan auditorías y certificación de SGSI.
En un radio de ISO 27006 El requisito 9.1.5.2 e, establece que el programa de auditoría “cubre muestras representativas del alcance de la certificación SGSI dentro del período de tres años”.
Por lo tanto, es necesario realizar auditorías internas que cubran toda la norma, como mínimo, durante el período de certificación (3 años para los certificados acreditados por UKAS).
Podría hacer esto como una auditoría única, pero generalmente se divide en auditorías más pequeñas durante un período de 3 años.
También es importante auditar algunas áreas con mayor frecuencia si los niveles de riesgo son altos o el área está sujeta a cambios frecuentes.
Se recomienda que auditar el sistema de gestión requisitos (Cláusulas 4-10) anualmente. Esto puede vincularse a la revisión de la gestión del SGSI, que también debe realizarse anualmente.
Dentro de ISMS.online, proporcionamos un área de trabajo del Programa de Auditoría prediseñada que incluye:
Nuestro SGSI viene preconfigurado con herramientas, marcos y documentación que puede adoptar, adaptar o agregar. Simple.
Nuestro Método de Resultados Garantizados está diseñado para certificarlo en su primer intento. Tasa de éxito del 100%.
Olvídese de la formación costosa y que requiere mucho tiempo. Nuestra serie de videos de Virtual Coach está disponible las 24 horas del día, los 7 días de la semana para guiarlo.
La norma exige que se documenten los resultados de la auditoría; la cláusula 9.2 de la norma ISO 27001 incluye el requisito de "conservar información documentada como evidencia de los......... resultados de la auditoría".
Esto se hace dentro de un Informe de Auditoría.
Obviamente, antes de poder documentar el informe de auditoría, es necesario planificar y llevar a cabo la auditoría. Luego podrá documentar los hallazgos en el informe.
Para cada auditoría, deberá planificar:
Cada auditoría requerirá la revisión de la documentación relevante, incluidas políticas, procedimientos, estándares y guías relevantes para el área o áreas de la norma que se está auditando. Es una buena práctica informar a quienes están siendo auditados sobre las áreas que deben cubrirse para garantizar un acceso fácil y oportuno a la documentación relevante.
En ISMS.online, esto se hace fácil ya sea teniendo la documentación dentro del sistema o vinculándola dentro de la sección correspondiente del estándar.
La mayoría de las auditorías requerirán el muestreo de evidencia en mayor o menor grado. Esto puede incluir entrevistar al personal clave relevante, a los usuarios finales y, a veces, incluso al personal temporal y a los contratistas.
Las fuentes de muestreo pueden incluir, por ejemplo:
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
Una vez realizada la recopilación de datos para la auditoría, será necesario que el auditor evalúe y analice los hallazgos para determinar cualquier no conformidad u oportunidad de mejora.
Los hallazgos normalmente se clasifican como uno de los siguientes:
Algunos organismos de certificación también utilizan:
Una vez analizados los hallazgos, ahora se puede preparar el informe de auditoría y presentarlo a la persona o al equipo. responsable del SGSI para revisión y seguimiento.
El informe de auditoría debe prepararse como información documentada, pero esto no significa que tenga que ser un documento de Word o PDF independiente. Dentro de Plataforma en línea ISMS, intentamos fomentar que se evite la creación de dichos documentos, sino que proporcionamos un área de trabajo en la que el informe se puede documentar directamente. Esta área ofrece funcionalidad adicional, incluida la capacidad de vincularse fácilmente a otras áreas de trabajo, políticas, controles, riesgos, acciones correctivas y “tickets” de mejora, y más.
El resumen ejecutivo es útil para que la alta dirección pueda ver rápida y fácilmente una descripción general de los hallazgos, incluidos los posibles problemas críticos, tendencias y oportunidades de mejora. Esto luego puede vincularse fácilmente a la Revisión de la gestión del SGSI siguiendo la Cláusula 9.3.
Esto generalmente incluirá:
Para garantizar una comprensión común de los hallazgos del informe, es necesario incluir las definiciones de alguna terminología utilizada que sea específica de la organización, el proceso de auditoría o la norma. Recuerde, no todos los que necesiten leer, evaluar y comprender el informe comprenderán necesariamente toda la terminología utilizada.
Esto incluirá:
Para cada sección de la auditoría, debe documentar los hallazgos, incluidas notas de las muestras de evidencia tomadas.*
Es una buena práctica registrar el cumplimiento y los puntos positivos y documentar cualquier no conformidad u oportunidad de mejora.
Los hallazgos deben registrar los hechos encontrados relevantes para el SGSI y el estándar y no deben incluir opiniones o conjeturas más allá de una extrapolación razonable.
*Nota: si se trata de muestras probatorias contener información de identificación personal, es una práctica habitual seudonimizar o anonimizar los datos de acuerdo con los requisitos de la legislación de privacidad como el RGPD.
Cuando se identifiquen no conformidades y oportunidades de mejora, estas deben documentarse claramente para que las acciones correctivas y los elementos de mejora puedan registrarse y gestionarse a través de los procesos reconocidos de la organización según lo documentado de acuerdo con la Cláusula 10.1 No conformidades y acciones correctivas; y 10.2 Mejoras continuas.
Como se trata de un informe de auditoría interna, un auditor puede hacer recomendaciones sobre cómo una organización podría abordar los hallazgos. En última instancia, las decisiones relacionadas con acciones correctivas y mejoras deben ser tomadas por las personas o equipos relevantes responsables del SGSI y la seguridad de la información.
Una sesión práctica adaptada a tus necesidades y objetivos.
La plataforma ISMS.online prescinde de la necesidad de crear documentos de Word, PDF y hojas de cálculo al proporcionar una solución todo en uno para documentar y vincular fácilmente todos los aspectos del SGSI, incluida la documentación de los informes de auditoría.
ISMS.online incluye un proyecto de programa de auditoría prediseñado que cubre auditorías internas y externas.
El programa de auditoría prediseñado incluye:
Cada actividad de auditoría interna contiene una plantilla para un plan e informe de auditoría combinados.
Antes de realizar la auditoría, la plantilla actúa como plan de auditoría, incluyendo qué áreas se van a auditar y proporcionando indicaciones para registrar cuándo se realizará la auditoría y quién la realizará.
Durante o después de realizar la auditoría, el auditor puede escribir notas directamente en la actividad de auditoría plantilla.
Además de simplemente proporcionar las plantillas de actividades de auditoría, ISMS.online brinda la capacidad de vincularse rápidamente a otras áreas de trabajo dentro de la plataforma, lo que significa que vincular los hallazgos de la auditoría con los controles, las acciones correctivas y las mejoras, e incluso con los riesgos, resulta fácil y accesible. Esto le permitirá demostrar fácilmente a su auditor externo la gestión conjunta de los hallazgos identificados.
Contáctenosy podemos brindarle apoyo.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento
Más información
Aborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento
Más información
Tome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.
Más información
Simplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión
Más información
Ilumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.
Más información
Seleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad
Más información
Integraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento
Más información
Agregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más
Más información
Involucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento
Más información
Gestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.
Más información
Mapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente
Más información
Fuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas
Más información