Nuestros mejores consejos para el éxito de la primera auditoría ISO 27001 Etapa 2

Si vas por Certificación ISO 27001, su auditoría de la Etapa 2 será uno de los grandes puntos críticos. Deberá demostrar que su SGSI es más que simples documentos bien redactados y buenas intenciones generales. Debe funcionar tan bien en la práctica como en el papel.

A lo largo de los años, hemos ayudado a muchos clientes a lograr por primera vez el éxito en la auditoría de la Etapa 2. Y algunos de nuestros ISO 27001 Los expertos han sido auditores de organismos de certificación, por lo que conocemos muy bien el proceso desde ambas partes. Nos hemos basado en eso para compartir nuestro:

  • 2 auditoría consejos
  • Lista de verificación inicial para diez de ISO 27001

Asegúrate de cubrir todos los elementos esenciales.

Su auditor examinará cada parte de su SGSI. Se centrarán en particular en sus componentes principales. Si no están a la altura, no lo recomendarán para la certificación. Por eso, cuando se esté preparando para su auditoría, tenga especial cuidado en cubrir:

Gestión del riesgo

Para que sus defensas de seguridad de la información funcionen, debe comprender de qué se está protegiendo. Así que revisa tu Gestión sistemática del riesgo, contenido y procesos con un peine de dientes finos.

Asegúrese de haber:

Gestión de activos

Su SGSI mira tanto hacia adentro como hacia afuera. Su auditor necesita asegurarse de que comprende exactamente lo que está protegiendo. Así que vuelva a verificar que haya grabado y comprendido todos sus activos de información.

Tenga en cuenta que el de su organización Los activos de información son más que solo su software de TI. y hardware. La lista puede incluir de todo, desde clientes y proveedores hasta contratos e intangibles como su marca y reputación. ¡Asegúrate de haberlo incluido todo!

Administracion de incidentes

Su auditor está comprobando que su SGSI funciona en la práctica. Por lo tanto, necesitarán asegurarse de que usted y sus colegas sepan exactamente qué hacer cuando suceda lo peor y el azúcar se acabe.

Necesitará estar absolutamente seguro de que su la gestión de incidencias Los procesos están a la altura. Eso significa precisar:

  • Cuándo y cómo se activan
  • ¿Quién hace qué y cuándo cuando ocurre un nuevo incidente?
  • Cómo registra y aprende de su respuesta a cada incidente, para que pueda:
    • Mejore su SGSI
    • Asegúrese de que cualquier repetición tenga menos o incluso ningún impacto

Acostúmbrate adecuadamente en tu SGSI

Su auditor necesita comprobar que su SGSI funciona en la práctica. Para asegurarte de que ese sea el caso, déjalo funcionar un rato. Tómese un poco de tiempo y espacio para generar confianza en su SGSI antes de mostrárselo a su auditor.

Ganarás confianza de dos maneras. En parte, esto será algo natural a medida que supervises tu SGSI, veas qué funciona y corrijas lo que no. Pero también deberías marcar algunas casillas más formales. Asegúrate de haber realizado:

  • Uno o mas auditorías internas y revisiones del sistema de gestión
  • Actividades apropiadas de educación y participación del personal.

Ese segundo punto es particularmente importante. Un SGSI sólo es eficaz cuando las personas lo comprenden y lo cumplen. Así que asegúrese de que su gente sepa:

  • para que sirve
  • ¿Por qué es tan importante?
  • Qué políticas y controles deben seguir
  • Exactamente cómo seguirlos

Asegúrese de que su SGSI realice cambios reales

Las organizaciones crean SGSI porque no son lo suficientemente seguras sin ellos. Estar seguro significa cambiar su enfoque de la seguridad. Esto crea una forma muy sencilla de comprobar si su SGSI está listo para la auditoría. Pregúntese:

¿Ha cambiado algo realmente?

Una efectiva ISMS creará cambios visibles y prácticos en la forma en que funciona su organización. Esos cambios afectarán sus procesos y relaciones tanto internos como externos. Deberían ser muy obvios para ti.

Si su SGSI ha generado cambios prácticos, positivos y obvios, entonces está un paso más cerca de estar listo para la auditoría. Pero si simplemente se rebautiza tu existente sistemas de seguridad, probablemente tengas más trabajo por hacer.

No se preocupe si los bloqueos afectan su auditoría

Las auditorías de la etapa 2 siempre han sido exhaustivas y in situ. Eso es difícil en nuestro mundo moderno, infectado por Covid. Pero no dejes que esto te preocupe.

Los organismos de certificación tienen muy claro que el proceso de auditoría debe continuar con normalidad independientemente del estado de bloqueo de una organización. Estarán encantados de auditar su organización de forma remota y trabajar con usted para superar cualquier desafío.

La auditoría remota hace que sea aún más importante contar con un SGSI totalmente transparente, de fácil acceso y todo en un solo lugar, como (creemos que deberíamos mencionar) el que nuestra plataforma podría ayudarte a crear. Y si ya estás con nosotros, eso es lo que ya tendrás.

No se detenga una vez que haya finalizado la auditoría de la Etapa 2

'Muchas organizaciones pasan su auditoría, celebran todo su arduo trabajo y... básicamente se olvidan por completo de su SGSI. Todos vuelven a su trabajo diario. Luego, aproximadamente diez meses después, hay un gran pánico cuando tienen que prepararse para su primera auditoría de mantenimiento.

Un SGSI no es un sistema de disparar y olvidar. Para mantener la certificación ISO 27001 se debe:

  • Aprenda de cualquier incidente de seguridad de la información
  • Evolucionar a medida que su organización matriz crece y cambia.
  • Tenga en cuenta cualquier nueva amenaza y desarrollo de seguridad de la información.

A menudo decimos que mantener su SGSI es un desafío tan grande como ponerlo en funcionamiento. ¡Asegúrate de que sea un desafío para el que estés preparado!

Siga nuestra lista de verificación ISO 27001 básica para diez

Le hemos brindado algunos consejos generales sobre cómo prepararse para la auditoría de la Etapa 2. Vamos a terminar con algunas orientaciones específicas. Esta tabla es una guía básica para comparar su SGSI con las norma ISO 27001. Le ayudará a concentrarse mientras piensa en cada parte.

 

Referencia ISO 27001 y Descripción

Cláusula 10.1

¿Se han registrado, gestionado y seguido todos los hallazgos de su auditoría de la Etapa 1?

¿Se han solucionado hasta el final todas las no conformidades importantes?

¿Las no conformidades menores están cerradas o en camino de acuerdo con sus acción correctiva ¿plan?

Cláusula 5

¿Están todos los procesos programados funcionando de manera oportuna para mostrar niveles de recursos adecuados?

Cláusulas 6.1, 8.2 y 8.3

¿Muestra su registro de riesgos una imagen actual y precisa de los niveles de riesgo (es decir, está actualización de riesgos frente a cambios y mejoras en el tratamiento de riesgos)?

Cláusula 6.2

Are you lograr sus objetivos de seguridad de la información?

Cláusula 7.2

¿Estás cerrando alguna? seguridad de la información ¿brechas de competencia?

Cláusula 7.3

¿Estás operando la seguridad de la información? conciencia programa que has descrito?

Cláusula 9.1

¿Ha tomado y evaluado su Mediciones de desempeño del SGSI?

Cláusulas 9.2, 10.1 y 10.2

¿Has completado al menos dos auditorías internas del cronograma de auditoría?

¿Registraste, rastreaste y administraste todos tus hallazgos?

No necesariamente es necesario completar hallazgos que requieran mejoras significativas, pero sí debe demostrar que se han planificado acciones o que se están llevando a cabo.

Cláusulas 9.3, 10.1 y 10.2

Tiene al menos un SGSI formal Revisión de gestión ¿Se llevó a cabo de acuerdo con los requisitos de la norma?

¿Ha registrado, seguido y gestionado todos los hallazgos?

Controles del Anexo A

¿Puede mostrar evidencia de que está operando cada control y proceso relevante de manera efectiva?

Cuando necesite realizar mejoras, ¿puede demostrar que las está rastreando y gestionando?

R.16. Gestión de Incidentes de Seguridad de la Información

¿Puede demostrar que, cuando ocurren incidentes, los registra, rastrea, administra y responde a lo largo del tiempo?

Concluyendo… ¡y buena suerte!

Hemos pensado mucho en la auditoría de la Etapa 2 porque hemos construido nuestra plataforma para ayudar a nuestros clientes a superarlo. De hecho, cada cliente que ha seguido nuestro Método de resultados asegurados ha aprobado la certificación obtenida en su primer intento.

Y no es necesario que empiece todo de nuevo. Es fácil migrar su trabajo existente a nuestra plataforma. Puede moverse cuando le convenga, incluso si ha completado su auditoría de la Etapa 1 o ha obtuvo la norma ISO 27001 proceso de dar un título.

Y eso es eso. Si esta publicación de blog lo ayuda en su auditoría de la Etapa 2, háganoslo saber: nos encanta saber cómo lo hacen las organizaciones. ¡Solo nos queda desearte mucha suerte! Estamos seguros de que todo su arduo trabajo dará sus frutos.

 

¿Estás listo para ver cómo podemos ayudarte a lograr el éxito por primera vez en la Etapa 2?

Reserve una demostración sin compromiso para ver nuestra plataforma en acción. Y somos sorprendentemente asequibles. Puedes obtener tu cotización aquí.

« Cómo realizar su revisión de gestión ISO 27001

5 consejos principales para lograr la certificación ISO 27001 »

Última edición: 7 de febrero de 2022
Autor

al robertson

Al es un escritor profesional y autor publicado que cubre una variedad de temas. Ha escrito una variedad de artículos sobre cumplimiento y especialmente sobre seguridad de la información y cómo la certificación ISO 27001 puede ayudar a las organizaciones a crecer.

Ver todas las publicaciones de Al Robertson

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más