¿Cuáles son los diferentes tipos de auditorías internas ISO 27001?

Introducción

Esta página se ha creado para explicar los diferentes tipos de auditorías internas ISO 27001. Para empezar sentaremos las bases explicando brevemente los requisitos de la propia norma ISO 27001, y luego hablaremos de un SGSI, por qué necesita auditoría y sus objetivos. Si está familiarizado con estos títulos, desplácese hasta la segunda mitad, que habla específicamente sobre auditorías internas y metodología.

 

¿Qué es ISO 27001?

ISO 27001 es un estándar creado por la Organización Internacional de Normalización. Se utiliza como marco para el desarrollo de una organización. Sistema de Gestión de Seguridad de la Información (SGSI). La norma se divide en dos secciones simples, las cláusulas (requisitos, y por lo tanto no opcionales) y el anexo A. controles (opcionalmente utilizado para mitigar los riesgos de seguridad de la información identificados).

El sistema de gestión de seguridad de la información (SGSI) debe diseñarse, mantenerse y mejorarse continuamente de acuerdo con la norma ISO 27001. Ayuda a demostrar las mejores prácticas en seguridad de la información, incluidas partes de la UE. Reglamento General de Protección de Datos, ayudando a establecer principios sólidos de seguridad de datos y procesos, sistemas e infraestructura resultantes en todos los aspectos de su negocio.

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?

Un sistema de gestión de seguridad de la información describe y demuestra el enfoque de su empresa u organización para proteger los datos y mantener la privacidad. Establece las políticas, procedimientos, sistemas y otros componentes utilizados para hacer cumplir seguridad de la información en toda una organización. Un ISMS también considera a las partes interesadas (como proveedores), el alcance de su organización (dónde y a qué se aplica su SGSI) y cuestiones internas y externas. Para esto último, puede determinar que estas cuestiones introduzcan riesgos u oportunidades para su organización, sobre las cuales luego actuará dentro de su SGSI.

¿Por qué necesitas un SGSI?

An El sistema de gestión de seguridad de la información ayuda a identificar y mitigar los riesgos relacionados con su información más valiosa y sus activos asociados.. En última instancia, tener un SGSI en funcionamiento puede permitir que una organización minimice las interrupciones causadas por amenazas a la seguridad y permitir mejora continua. Además de este valor centrado internamente, un SGSI exitoso suele tener un valor comercial tangible.

imagen de cta

Mira lo sencillo que es con ISMS.online

Reserva tu demostración

 

¿Por qué auditar su SGSI?

An auditoría de su SGSI permite que el sistema de gestión sea revisado por un auditor objetivo y competente. Probará los elementos del SGSI en función de los requisitos estándar. También permitirá una mayor comprensión de la Nivel actual de la organización para alcanzar sus necesidades. y objetivos corporativos. También se miden la eficiencia y practicidad de las políticas y procedimientos escritos. Por último, un auditoría de su SGSI También podemos tomar nota de los hallazgos positivos para garantizar que se mantengan adecuadamente y proporcionen desarrollo para la mejora continua.

¿Qué es una auditoría interna?

Durante una auditoría interna, El auditor recopila y documenta los hechos. en colaboración con el auditado. Una auditoría interna mide las prácticas reales (y los resultados resultantes, como los registros) con respecto a sus SGSI, alineado con la ISO 27001 estándar. Garantiza que usted esté siguiendo las mejores prácticas y Procesos para proteger datos sensibles.. Un auditor competente debe llevar a cabo una auditoría interna desde dentro o (opcionalmente desde fuera, por ejemplo, un consultor) trabajando en estrecha colaboración con la organización.

¿Por qué realizamos auditorías internas?

Cláusula 9.2 de la norma ISO 27001 (y muchas otras normas ISO modernas) exige que las auditorías internas se lleven a cabo en "intervalos planificados". En primer lugar, debemos realizar auditorías internas periódicas. Por cierto, los demás requisitos de la cláusula 9.2 son bastante simples: debemos documentar los resultados de nuestra auditoría y asegurarnos de que el programa de auditoría esté planificado pero sea dinámico. Este último punto garantiza que usted considere esto y responda en consecuencia a medida que su organización y el entorno empresarial externo cambien.

Además de los requisitos ISO, se le debe impulsar a realizar una auditoría de varios factores organizacionales centrales:

  • Detectar ineficiencias en los procesos.
  • Detectar fallas en el cumplimiento de los requisitos de la norma.
  • Identificar buenas prácticas que se puedan replicar.
  • Para buscar posibles mejoras
  • Para detectar el cumplimiento

 

Tipos de auditorías internas ISO 27001

Mientras se logra y mantiene la certificación ISO 27001, en muchas ocasiones es posible que necesite una auditoría interna. Hay varias formas de ejecutar su estrategia de auditoría interna. Hay momentos dentro de su proceso de certificación en los que una auditoría interna puede aumentar su confianza al someterse a una auditoría externa. Durante el período previo a la certificación por primera vez, existen dos grandes oportunidades para una auditoría interna. Estas pueden denominarse auditoría previa a la etapa 1 (revisión de preparación) y auditoría previa a la etapa 2.

Auditoría previa a la etapa 1

Una etapa previa 1 es una auditoría que opcionalmente, pero muy comúnmente, puede ocurrir para ISO 27001 y se centra en si el políticas y procedimientos actuales cumplir con los requisitos establecidos en la norma. Una auditoría previa a la etapa 1 también puede denominarse revisión de preparación y generalmente analiza solo los componentes documentados (políticas, procedimientos, etc.) de su SGSI creado por su organización y verifica si cumplen con el estándar. Este La auditoría ayudará a garantizar que su organización esté más preparada para una etapa externa. 1 revisión de documento de un organismo certificador.

El resultado de una auditoría previa a la etapa 1 sería un documento que incluye una lista de controles y cláusulas y si la organización las cumple con cada área estándar. También tendrá oportunidades de mejora (OFI), destacando las políticas que abordan la cláusula o anexo que puede necesitar ser revisado. Por último, se pueden enumerar no conformidades cuando el auditor considere que el SGSI no se alinea con la norma ISO 27001.

Auditoría previa a la etapa 2

La auditoría previa a la etapa 2 generalmente cubre una Control o cláusula ISO 27001 de tu elección. Esta auditoría demuestra la eficacia de sus procedimientos y políticas de auditoría en la práctica. Esto se basa en la auditoría previa a la etapa 1, lo que garantiza que su organización implemente y practique los procesos definidos. Estas áreas son probadas e investigadas por el auditor para representar el nivel actual de su organización. cumplimiento de seguridad de la información. Los hallazgos se registran y almacenan dentro de su SGSI.

Vinculando a la cláusula 10 de ISO 27001, que aborda mejoras y acciones correctivas, después de completar una auditoría interna previa a la etapa 2, una organización documenta sus no conformidades y áreas de mejora dentro de su SGSI. Se fija una fecha de revisión para cada hallazgo una vez que se ha establecido la necesidad de tomar medidas.

Todas las personas a las que hemos ayudado a optar por la ISO 27001 aprobaron la primera vez. Tú también podrías.
Reserva tu demostración

 

Programa de auditoría

La La norma ISO 27001 requiere una auditoría programa. Un programa de auditoría normalmente define un plan de tres años entre auditorías externas de recertificación. Un robusto Marco SGSI como ISMS.online proporciona un área del proyecto que establece los plazos de la auditoría, detalla lo que debe abordarse y otros detalles pertinentes de la auditoría planificada.

Durante estos tres años, es común que todas las áreas estándar se aborden al menos una vez. Los programas de auditoría pueden y deben ser flexibles para satisfacer sus necesidades. necesidades de la organización y no es necesario que se ajuste a un modelo establecido.

Cada auditoría está planificada y el plan de auditoría generalmente contiene detalles como:

  • Cuándo es necesario realizar la auditoría (no perturbar las operaciones comerciales normales)
  • ¿Qué áreas de la norma deben cubrirse?
  • ¿Quién hará la auditoría?
  • El objetivo: ¿por qué se realiza la auditoría? Esto podría ser una auditoría planificada o una nueva auditoría de un área de no conformidad previamente identificada.
  • El alcance de la auditoría: ¿qué partes del negocio se pretende cubrir en el tiempo disponible?

Existen métodos de auditoría sutilmente diferentes:

  • Las auditorías se pueden realizar cláusula por cláusula y control por control. Un gran ejemplo de dónde sería útil este enfoque es para aplicaciones más generales. controles del anexo A, lo que mitiga un riesgo relacionado con todos. Esto implicaría seleccionar partes del estándar y auditar una parte predefinida o toda su organización. Un ejemplo de esto sería A.11 Seguridad física para cada una de sus oficinas o ubicaciones.
  • Otro método de auditoría incluye la realización de auditorías departamentales. Este método buscaría realizar auditorías basadas en estructuras departamentales y áreas de trabajo. Una auditoría departamental puede ser apropiada si los departamentos operan en diferentes regiones. Un ejemplo puede ser una auditoría de su recursos humanos (RRHH) y sus componentes SGSI.
  • También se pueden realizar auditorías basadas en productos/servicios. Esto analizaría las tareas y operaciones realizadas para entregar un producto específico. Una manera pragmática de lograrlo es comenzar desde el producto final y retroceder hasta el momento en que se iniciaron las acciones. Básicamente se trata de una auditoría de un proceso.

 

Auditorías no planificadas/adicionales

A veces, puede sentir que necesita realizar auditorías fuera de su programa de auditoría inicial dentro de su organización. Esto podría deberse a varias razones relacionadas con la eficacia de su SGSI. Las auditorías planificadas son una forma de demostrar que su organización es proactiva y busca la mejora continua. Sin embargo, puede ser igualmente importante reaccionar ante las circunstancias de su organización; esta es su elección, ya que no es una requisito de la norma ISO 27001.

Otra razón por la que una organización podría necesitar llevar a cabo una auditoría no planificada sería para responder a un incidente de seguridad o un desastre. Si se produjera una violación de la seguridad a través de un correo electrónico de phishing, una organización podría considerar adecuado auditar el control A.7.2.2 del anexo A, que analiza la concientización y capacitación del personal. Esto sería para garantizar que este tipo de compromiso de seguridad no vuelva a ocurrir.

Un ejemplo de por qué es posible que desee realizar auditorías adicionales se debe a los hallazgos de las auditorías planificadas. Por ejemplo, supongamos que encontrara no conformidades dentro de un área de auditoría determinada, puede ser mejor auditar ese control o cláusula específica a intervalos más regulares hasta que el problema ocurra menos o el riesgo se vuelva más tolerable. Esto dependería de su apetito por el riesgo, el daño potencial y la frecuencia de las no conformidades. También puede ser útil y apropiado realizar una auditoría interna de cualquier acción correctiva para garantizar el éxito.

 

Resultados de la auditoría

Al realizar una auditoría, es fundamental documentar sus descubrimientos y garantizar mejora continua. También se observan hallazgos positivos que ayudan a generar ideas y garantizar que se mantengan las buenas prácticas. Las no conformidades se registran para garantizar que se tomen acciones correctivas y que los problemas se asignen a un propietario responsable. Una forma comúnmente estructurada en la que se documentan los resultados de la auditoría es la siguiente:

  • Conformidad: se considera que los acuerdos satisfacen adecuadamente los requisitos de las cláusulas o controles aplicables.
  • Oportunidades para mejora – Áreas destacadas donde el SGSI potencialmente podría mejorarse, a criterio de la organización. La organización debe considerar cuidadosamente el hallazgo y documentar los cambios en el SGSI según corresponda.
  • Disconformidad – Un problema que contraviene un requisito de la norma ISO 27001. Esto requerirá una resolución completa y adecuada con prontitud antes de la próxima auditoría externa.
  • Incumplimiento mayor: el incumplimiento del estándar a nivel sistémico probablemente requerirá atención por parte de la alta dirección y la reestructuración de las prácticas de seguridad de la información.

Tenga en cuenta que el enfoque anterior no es un requisito de la norma ISO 27001, por lo que podría utilizar enfoques completamente diferentes si funcionan para su organización.

 

Cómo ISMS.online ayuda con las auditorías internas

Con ISMS.online, nuestro servicio de software permite que su sistema de gestión de seguridad de la información sea una ubicación accesible todo en uno. Esto incluye un área de programa de auditoría flexible que puede documentar informes de auditoría entre períodos de certificación. En segundo lugar, ISMS.online ayuda a las organizaciones a gestionar los resultados de sus auditorías y abordarlos en consecuencia. Además, dentro de nuestro servicio de software, proporciona un área para cumplir con la cláusula 10 (Mejora) al proporcionar un seguimiento de acciones correctivas y mejoras. Esto permite que su organización sea más proactiva al abordar no conformidades y mejoras. Lo hace viendo su estado, asignando un propietario responsable y fechas de finalización y revisión. Todas estas características permiten que una organización se sienta mejor organizada para una auditoría externa, ya que todas las áreas de trabajo y los informes son fácilmente accesibles para mostrarlos, lo que permite que el proceso se desarrolle sin problemas.

ISMS.online también ofrece servicios de auditoría interna realizados por especialistas en seguridad de la información. Esto garantiza que las organizaciones cuenten con un auditor competente para realizar sus auditorías internas de acuerdo con el anexo A.18.2.1, que menciona que los procesos y procedimientos deben revisarse de forma independiente. Esto permitirá que los resultados de su auditoría sean objetivos, precisos y valiosos para su organización.

Para brindar soporte adicional, ISMS.online también incluye una entrenador virtual complemento, que incluye videos, guías y listas de verificación que brindan información sobre cómo abordar el estándar ISO 27001. Existe una sección relacionada con el 9.2 (Auditorías Internas) y otras áreas relevantes. Esto le da dirección a su organización y ayuda a ahorrar tiempo que puede usarse para concentrarse en operaciones más generales. El uso de Virtual Coach ayudará a que su organización se vuelva pragmática y aumente su seguridad de la información confianza.

Listos para actuar?

Reserva tu demostración

imagen de cta

 

« Cómo prepararse para una auditoría interna ISO 27001: la perspectiva del auditado

Cómo evitar errores comunes de auditoría interna ISO 27001 »

Última edición: 7 de febrero de 2022
Autor

Aarón Korpal

Aaron es un especialista en seguridad de la gestión de la información y ayuda a los clientes a alinearse y cumplir con una variedad de estándares, incluido el ISO 27001.

Ver todas las publicaciones de Aaron Korpal

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más