Cómo prepararse para una auditoría interna ISO 27001: la perspectiva del auditado
Tabla de contenido:
Introducción
Todas las auditorías involucran al menos a un auditor (a veces más de uno, y la persona a cargo comúnmente se conoce como auditor principal) y al menos un auditado. La función de los auditados es colaborar con el equipo auditor para:
- Navegar por los diferentes documentos y sistemas SGSI
- Discutir y acordar la efectividad de las partes del SGSI en proceso de auditoría
- Proporcionar evidencia cuando sea necesario de la ISMS operaciones (normalmente registros)
- Explicar el pensamiento previo y el contexto empresarial de la auditoría.
El objetivo de este artículo es analizar la preparación para las auditorías internas desde la perspectiva del auditado.
¿Qué es una auditoría interna ISO 27001?
Las auditorías internas de ISO 27001 ayudan a las organizaciones a garantizar que se cumplan sus requisitos y los exigidos por la norma. La auditoría interna ISO 27001 es en primer lugar el proceso de determinar si una empresa cuenta con los procedimientos, procesos, protocolos y personas necesarios para proteger su información y sus sistemas de gestión de información contra la norma ISO 27001. En segundo lugar, la auditoría comprobará, mediante la inspección de documentos y registros y con la asistencia del auditado, si el varios componentes del SGSI están funcionando según lo diseñado y siguiendo los requisitos (busque la palabra "deberá") de la norma ISO.
¿Para qué necesitamos auditorías internas ISO 27001?
Varios conductores hacen realización de auditorías internas obligatorio. Cláusula 9.2 de la norma ISO 27001 exige que las auditorías se realicen a “intervalos planificados”. La mayoría de las empresas están impulsadas a liberar valor real de su SGSI y la alta dirección lidera esta intención estratégica. Por lo tanto, las auditorías internas se consideran y utilizan como una herramienta fundamental para la mejora empresarial.
La realización de una auditoría interna garantiza que los procedimientos de una empresa se estén llevando a cabo según el plan. Comentarios positivos y negativos de un proyecto. La auditoría interna es invaluable para mejorar los procesos de gestión de la información de sus organizaciones..
La diferencia entre auditorías ISO 27001 externas e internas
La proceso de auditoría externa Es esencialmente lo mismo que los procesos de auditoría interna, pero lo que en última instancia tienen en común es que el objetivo es lograr y mantener la certificación ISO 27001. Normalmente, los organismos certificados realizan auditorías externas utilizando auditores profesionales. Si bien los procesos de auditoría son esencialmente los mismos, los externos Las auditorías tienden a ser más formales y estructuradas. que las auditorías internas.
Como referencia, aquí hay un resumen rápido de los diferentes tipos de auditoría.
Auditorías de terceros
Esto ocurre cuando otra organización audita la suya (el ejemplo obvio es que su SGSI es auditado por el organismo de certificación elegido), comúnmente conocido como "auditoría externa".
Auditorías de segunda parte
Esto puede ser hacia adentro de su organización (un cliente lo audita) o hacia afuera de su organización (por ejemplo, usted audita a un proveedor actual o potencial).
Auditorías propias
Las auditorías propias se realizan cuando una organización se audita a sí misma, es decir, una auditoría interna.
Definiendo la auditoría
Para obtener el máximo valor de su auditoría, debe predefinir los parámetros de auditoría. Esto incluye el alcance, los criterios y el objetivo de la auditoría. El objetivo de la auditoría es el propósito o finalidad de la auditoría. El Alcance de la Auditoría identifica qué actividades y registros están sujetos a auditoría. Los Criterios de Auditoría consisten en políticas, procedimientos y requisitos con los que se examina la auditoría, en este caso, la norma ISO 27001:2013.
La importancia de la preparación para la auditoría ISO 27001
Si hay un bien que a todos nos gustaría más, es el tiempo. Como dijo una vez Benjamín Franklin: "No prepararse es prepararse para fracasar". Estoy seguro de que no estaba haciendo referencia a las auditorías ISO 27001 en ese momento, pero la relevancia aún existe. Es casi seguro que una auditoría de todo su sistema de gestión de seguridad de la información, incluidas sus tecnologías, procesos, procedimientos y personas, resultará un desafío.
Cuanto más extensa y compleja sea la organización, más probable será que los resultados de la auditoría retrasen la certificación. Sin embargo, hay pasos que puede tomar con anticipación para que su auditoría sea más eficiente y menos complicada. Asegúrese de reunir todos los documentos necesarios antes de la auditoría para demostrar sus esfuerzos de cumplimiento. Además, asegúrese de comprender los requisitos de las áreas estándar relevantes que están sujetas a auditoría. Finalmente, asegúrese de estar al día con todas las áreas de trabajo continuo, como acciones correctivas, revisiones por la dirección y el programa de auditoría; Es muy probable que estos sean verificados como parte de la auditoría interna.
Cómo prepararse prácticamente para la auditoría interna
Tanto el auditor como la organización deben estar adecuadamente preparados para la auditoría. Es fácil olvidar, mientras se hace hincapié en la documentación, que hay muchas cosas prácticas para las que es posible que deba estar preparado. Antes de la auditoría (digamos dos semanas antes), suele ser una buena idea asegurarse de que todas las políticas/procedimientos/sistemas/registros/controles relevantes estén lo más actualizados posible y que existan pistas de auditoría de aprobación adecuadas. Si lo considera apropiado, puede volver a leer sus políticas, procesos y procedimientos relevantes para volver a familiarizarse con ellos y tal vez revisarlos antes de la auditoría si lo considera conveniente. Después de leer este documento, no le sorprenderá que pueda necesitar presentar documentación en la auditoría. Como resultado, probablemente sea una buena idea asegurarse de tener la documentación disponible antes de la auditoría, o al menos saber cómo acceder a ella. Correr buscando cosas en el último momento sólo hará perder el tiempo a usted y a los auditores; el acceso y la autorización deben resolverse con antelación. Debe garantizar todos los permisos de seguridad necesarios, como el acceso a la sala de servidores o una tarjeta de acceso al almacén. Del mismo modo, es posible que tengas que hacer arreglos especiales de antemano, como apagar una alarma o detener temporalmente la producción.
Además, es posible que necesite EPI para el auditor en caso de exposición a un entorno peligroso, como un casco de seguridad o incluso un mono. Esto es especialmente importante ya que, de no hacerlo, es probable que el auditor no cumpla con sus funciones. Asimismo, puede haber un departamento o persona específica que será auditada, como por ejemplo Recursos Humanos. Debes asegurarte de que el personal especializado es consciente de la auditoría y están disponibles para que el auditor hable con ellos. Asegúrese de avisar a sus colegas/empleados con suficiente antelación. El plan de auditoría le ayudará a elaborar estos arreglos.
Por último, es posible que deba realizar algunos preparativos logísticos, por ejemplo, disponer un espacio de trabajo adecuado para el auditor. Esto podría usarse para trabajar en los hallazgos de la auditoría y la redacción. De manera similar, el auditor puede necesitar una conexión a Internet para realizar algunos aspectos de la auditoría. Por lo tanto, debe indicarles que traigan consigo un punto de acceso si su política no permite que los invitados se unan a la red. Por otro lado, tener a mano una red Wi-Fi para invitados y una contraseña ayudará a que las cosas sean más sencillas para el auditor.
Ninguna preparación es la mejor preparación.
Puede que le sorprenda, pero el SGSI ideal no necesitaría prepararse para una auditoría. Un SGSI exitoso está actualizado con las Requisitos estándar continuos, como revisiones de la dirección., auditorías, acciones correctivas, etc. Mantenerse actualizado con estas áreas de trabajo solo servirá como una ayuda para sus prácticas comerciales debido a la Mejoras continuas de su SGSI.. Antes de su auditoría, es posible que sea necesario hacer algunas tareas domésticas. Sin embargo, un sistema que le recuerde las tareas pendientes, las próximas tareas, las revisiones de políticas y otras tareas continuas le brindará la mejor oportunidad de evitar el pánico ISO. Aquí es donde entramos nosotros. Proporcionamos un completo plataforma para que usted administre y construya su SGSI. Gracias a nuestras soluciones, su organización, sus clientes y otras partes interesadas pueden tener confianza en el cumplimiento y certeza en la certificación. Desde principiantes en seguridad de la información hasta veteranos experimentados, estamos acostumbrados a trabajar con clientes de todos los orígenes. A medida que su organización crece y cambia, continuamente surgen nuevas amenazas de seguridad de la información. Diseñamos nuestra plataforma para ayudarte a adaptarlo a todo eso y más a medida que el mundo sigue evolucionando.
Hallazgos de auditorías anteriores y acciones correctivas: ¿serán auditados?
El objetivo es auditar el SGSI internamente según la norma ISO 27001 para no generar nuevas no conformidades. Por lo tanto, usted debe acudir a la auditoría con la confianza de la conformidad. En consecuencia, una revisión de la documentación es fundamental. Necesitamos verificar que todas las políticas sean presentadas y aprobadas por mi gerencia. De lo contrario, podría ponerse en peligro la conformidad con Cl.5.2.
Además, sería útil observar las acciones correctivas en el SGSI; Estos datos se pueden utilizar para prepararse para su próxima auditoría interna. La información proporcionada por la CA (acciones correctivas) le mostrará áreas previamente identificadas que necesitan mejorar. A veces, las acciones correctivas pueden provenir de una revisión de la gestión o de una respuesta a un incidente de seguridad. Sin embargo, nos vamos a centrar en las Acciones Correctivas que surgen de una auditoría. Es esencial revisar estas CA, ya que es casi seguro que serán verificadas en su auditoría. La siguiente auditoría debe abordar las oportunidades de mejora y cualquier no conformidad que surgiera de su auditoría anterior. Esto es para demostrar su dedicación continua a la mejora continua del SGSI. El término "abordado" es vago, por lo que estamos disponibles para aclarar las cosas. Para lograr el cumplimiento en esta área, debe demostrarle al auditor que ha actuado según los cambios recomendados. La forma en que esto se hace es utilizando nuestro rastreador de acciones correctivas y el característica de trabajo vinculado para mostrar los cambios que ha realizado en respuesta al hallazgo. Si no ha actuado según la capacitación, no entre en pánico, el cumplimiento aún es posible. Debe haber pruebas de que se está pensando en el hallazgo y se está actuando en consecuencia. Por lo general, bastará con documentar el hallazgo en el rastreador de CA y establecer una fecha de vencimiento/persona asignada; muestra que su empresa está considerando la sugerencia y está en el proceso de decidir el próximo curso de acción. Además, todas las CA atrasadas deben abordarse antes de cualquier auditoría para demostrar el compromiso con la mejora continua del SGSI.
¿Por qué elegirnos?
aliantista, la empresa detrás de ISMS.online, está certificada según ISO 27001 por un organismo de certificación acreditado por UKAS. Brindamos a nuestros clientes soporte integral ISO e ISMS. Según el paquete que elijan, el nivel de soporte que recibirán variará, pero siempre habrá personas reales involucradas. Para obtener más información, consulte nuestra política de soporte o no dude en ponerse en contacto con nuestro departamento de soporte. La certeza del cumplimiento y la certificación son fáciles de lograr con nuestros servicios para su organización, sus clientes y otras partes interesadas. Estamos acostumbrados a trabajar con clientes en todos los niveles, desde Recién llegados a los veteranos.
