La Auditoría Interna ISO 27001:2013: Simplificada

¿Cuál es el objetivo de la auditoría interna de la ISO 27001?

El objetivo de la auditoría interna en la sección 9 de los requisitos de gestión para ISO 27001:2013 es la evaluación del desempeño. 9.2 dice que la organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el seguridad de la información sistema de gestión:

1) se ajusta a

1.1) los propios requisitos de la organización para su sistema de gestión de seguridad de la información; y

1.2) los requisitos de esta Norma Internacional;

2) se implementa y mantiene efectivamente

3) planificar, implementar y mantener un programa de auditoría

4) definir los criterios de auditoría y el alcance de cada auditoría

5) seleccionar auditores que sean objetivos e imparciales

6) asegurar que se informan las auditorías a la gerencia relevante

7) retener información documentada como evidencia

En resumen, la auditoría interna es una de las iniciativas que demuestra su ISMS Se puede confiar en él y funciona como se esperaba.

El estándar ISO 27001 lo alienta a ejecutar el SGSI para cumplir con sus objetivos comerciales, alcance, problemas internos y externos, etc. Como tal, también desea asegurarse de que auditorías internas se llevan a cabo con el estilo que refleja su negocio y sus riesgos, considerando al mismo tiempo la cultura y los recursos que tiene implementados.

¿Dónde y qué debería auditar en su Sistema de Gestión de Seguridad de la Información?

Para que sea real, su programa y filosofía de auditoría deben derivarse de los problemas, el alcance, por ejemplo, ubicaciones, departamentos, procesos, productos, etc., además de considerar el Declaración de aplicabilidad, riesgos, etc., no sólo un ejercicio de marcar casillas. Sin embargo, tendrá que demostrar que ha realizado una auditoría según toda la norma: requisitos de gestión y Anexo A. controles – al menos una vez durante los 3 años Certificación ISO 27001 ciclo, y que puede proporcionar evidencia de muestra de controles trabajando según sus requerimientos.

Nos hemos basado en ese enfoque en el programa de auditoría estándar en SGSI.online para ayudar a garantizar que las auditorías representen lo que la empresa necesita. En nuestra opinión, las auditorías deben estar dirigidas por empresas y ser "reales" para que la gente las acepte como una inversión válida y para que la auditoría tenga sentido.

Cómo auditar en 3 niveles pragmáticos y simples

Nivel 1 – Revisión de políticas de acuerdo con A.5.1.2 y A.8.1.2 para revisiones independientes

Este nivel es una revisión simple de cómo "describes" tu políticas y controlesy garantizar que sigan siendo relevantes para la organización según 4.1 – 3 y en línea con las cuestiones, partes, alcance, activos de información, riesgos, etc. anteriores.

En ISMS.online hemos incluido la política para A.5.1.2 y desarrolló la plataforma con eso en mente, para que le resulte fácil adoptar nuestra política y realmente "vivirla" en la práctica.

Claramente esto no es una auditoría interna para secta. 9.2 en sí mismo, pero es una parte importante de su ISMS gestión junto con otros aspectos como revisiones de gestión, seguimiento de incidentes etc. y ayudará a garantizar que cuando realice su auditoría interna formal lo haga con un conjunto sólido de políticas y controles que sean apropiados para su organización.

Nivel 2: plan de auditoría interna que cubre los requisitos y controles

Este es el enfoque requerido y más tradicional y deberá llevarse a cabo como mínimo durante el transcurso del ciclo de certificación y puede valer la pena considerar cubrirlo anualmente.

Nuestro proyecto de auditoría se puede utilizar para establecer los objetivos y el alcance de cada auditoría y registrar sus hallazgos. Cualquier no conformidad que se identifique se puede abordar en el Pista de mejora.

Para aquellas organizaciones que deseen seguir un programa de auditoría de tres años de todos los controles, hemos incluido un marco a seguir en SGSI.online

Nivel 3: un enfoque holístico para demostrar la eficacia

También fomentamos un enfoque más holístico para las auditorías internas y hemos creado un programa en la plataforma que centra una auditoría en "demostrar" una parte específica de su Alcance del SGSI cumple, por ejemplo, un departamento, una ubicación, un producto, sistema o proceso.

Esto le brinda la oportunidad de ver cómo funciona el negocio en la práctica, más allá INFOSEC per se, y ver oportunidades de mejora o, de hecho, descubrir riesgos que podrían no verse fácilmente si se mira a través de una lente de control.

Esto también permite a una organización auditar un mayor número de controles de una sola vez, de forma unida.

En nuestro Entrenador virtual ISO 27001, incluimos un ejemplo para dar una idea de lo que podría estar haciendo y que ilustraría parte de su ISMS El alcance está funcionando bien y cumpliendo sus objetivos, con los controles funcionando (o no).

Cómo planificar el programa de auditoría ISO 27001

No es fácil desarrollar un plan de auditoría con tres años de antelación para todo el período de certificación si se trata de una organización que cambia rápidamente. Si este es el caso, debes considerar aquellas áreas de alcance que necesitan ser auditadas y crear un plan de 3 meses para cumplir con las expectativas de un auditor externo.

Entonces ten claro que serás realizar revisiones de gestión de acuerdo con la Sección. 9.3 eso podría provocar un cambio en ese calendario. Eso es parte de lo que se trata 9.3: ser proactivo y también reaccionar ante nuevas información que afecta al SGSI.

Si decide cambiar el cronograma de auditoría, por ejemplo, debido a un evento desencadenante que lo justifica, simplemente mueva el cronograma de auditoría y agregue una nota en su informe correspondiente. revisión de gestión para justificar por qué realizó los cambios.

Cualquiera que sea el enfoque de auditoría que elija adoptar, esté preparado para justificar, demostrar y defender su eficacia ante un auditor externo.

¿Cuántos detalles debería incluir en un ejercicio de auditoría ISO 27001?

Al decidir qué tan profundo debe llegar con su ejercicio de auditoría, considere lo siguiente: ¿Tiene suficiente información para poder demostrar que realizó la auditoría, aprendió del ejercicio, la documentó y tomó medidas posteriores?

Desde nuestra propia perspectiva cultural, esto también se trata de ser concisos, sin papel y digitales, y se centra en garantizar que hagamos bien el trabajo: celebrar el éxito, aprender y mejorar, y reducir el riesgo sin quedar atrapados en la burocracia o llenar formularios por el simple hecho de hacerlo. de ello.

Todas las personas con las que hablamos (antes de crear ISMS.online) tenían su propia forma de auditar. Hemos visto algunos informes de auditoría muy extensos que rara vez son leídos por la audiencia adecuada, que en realidad sólo quiere un resumen. Entonces, para nosotros se trata de evidenciar, aprender, tomar medidas y llevar cualquier mejora a la práctica, de acuerdo con la gravedad de la amenaza o el valor de la oportunidad en relación con las otras prioridades comerciales.

En ISMS.online, puede hacerlo en la propia actividad de auditoría o vincular el trabajo de mejora a nuestro Seguimiento de acciones correctivas y mejoras. para alinearse con todas las Acciones Correctivas y mejoras, no solo las que provienen de una auditoría.

¿Qué dice la ISO sobre las auditorías y la auditoría de la ISO 27001?

Además de los requisitos de la norma ISO 27001 9.2, el Organización Internacional de Normalización (ISO) proporciona las siguientes normas relevantes para la auditoría:

• ISO 27007 – Proporciona orientación sobre cómo auditar los elementos (requisitos) del sistema de gestión de su SGSI y se basa en gran medida en ISO 19011 (ver más abajo) con la lente adicional de detalles específicos relacionados con la auditoría de un SGSI.
• ISO TR 27008: un informe técnico (en lugar de un estándar) que proporciona orientación sobre la auditoría de la controles de seguridad de la información gestionado por su SGSI.
• ISO 19011 – proporciona orientación sobre auditoría sistemas de gestión, incluidos los principios de auditoría, la gestión de un programa de auditoría y la realización sistema de gestión auditorías, así como orientación sobre la evaluación de la competencia de las personas involucradas en el proceso de auditoría, incluida la persona que gestiona el programa de auditoría, los auditores y los equipos de auditoría.
• ISO 27006 & ISO 17021: son para los organismos de certificación que realizan las auditorías externas. Si bien pueden proporcionar una referencia útil para comprender lo que buscan los organismos de certificación, su auditoría interna será muy diferente, con un propósito diferente y no debería buscar auditar exactamente de la misma manera.

Un tema constante que escuchamos es que los auditores quieren ver que el La organización vive y respira el SGSI. y eso incluye la participación del liderazgo, mostrar proactivamente lo que tiene en ISMS.online y poder responder muy rápidamente a sus preguntas específicas con evidencia.

Tener una estructura que siga el ISO 27001: Los métodos y etiquetas de 2013, como en ISMS.online, también facilitan que los auditores los sigan en su propio 'lenguaje', y pueden ver cambios de versión, trabajos con marcas de tiempo, colaboraciones, aprobaciones de miembros independientes del equipo, etc., por lo que es una gran ayuda al conjunto de pruebas anteriores.

Obviamente, aún necesitará demostrar que las políticas se aplican en la práctica fuera de ISMS.online, por ejemplo, la información está respaldada desde sus sistemas, se mantienen acuerdos de confidencialidad con clientes y proveedores, etc. (y, por supuesto, puede usar ISMS.online para mostrarle al proveedor acuerdos también!)

¿Debería realizar un curso de auditor líder para ayudar con la norma ISO 27001?

Si está pensando en realizar un curso de auditor líder, vale la pena considerar que, cuando recibe capacitación de alguien cuyo trabajo de tiempo completo es la auditoría, se centra en la capacitación para auditar desde una perspectiva externa. Esto puede estar más allá de los requisitos de su organización para cumplir con 9.2 y potencialmente hacer que pierda de vista cuáles son los objetivos comerciales más amplios.

Debe poder auditar lo suficientemente bien como para demostrar a sus líderes y a sus partes interesadas (por ejemplo, auditores) que la auditoría interna 9.2 es efectiva como parte de su evaluación de desempeño y funciona en la práctica.

En ISMS.online hemos propuesto un proceso de auditoría en la Sección. 9.2, y con el espacio para ofrecerlo que sea lo suficientemente fácil de adoptar o adaptar a su estilo y necesidades, y teniendo en cuenta las limitaciones de recursos internos. También hemos incluido un ejemplo pragmático en el Entrenador virtual ISO 27001.

Sin embargo, muchos clientes definen su enfoque fácilmente utilizando ISMS.online y luego obtienen un simple control de estado virtual junto con asesoramiento, e incluso soporte de auditoría pragmático y continuo, con nuestro Auditor Líder calificado.

SGSI.online simplifica el establecimiento del programa de auditoría adecuado para usted, ya sea adoptando nuestros programas prediseñados o creando el suyo propio rápida y fácilmente.

Le ayudaremos a gestionar sus auditorías de manera más efectiva e integrarlas con un enfoque holístico a un nivel más amplio. ISMS.