¿Cuál es el proceso de auditoría ISO 27001?
Tabla de contenido:
- 1) ¿Qué implica una auditoría ISO 27001?
- 2) ¿Qué es una auditoría ISO 27001?
- 3) ¿Por qué son importantes las auditorías ISO 27001?
- 4) ¿Qué implica una auditoría externa ISO 27001?
- 5) El valor de una auditoría ISO 27001 con/sin certificación
- 6) ¿Quién realiza una auditoría ISO 27001?
- 7) ¿Cómo ISMS.online hace que el proceso de auditoría sea más eficiente?
- 8) « Cómo evitar errores comunes de auditoría interna ISO 27001
- 9) ¿Cómo explico un SGSI a mis colegas? »
¿Qué implica una auditoría ISO 27001?
Las auditorías se utilizan comúnmente para garantizar que una actividad cumpla con un conjunto de criterios definidos. Para todas las normas de sistemas de gestión ISO, las auditorías se utilizan para garantizar que el sistema de gestión cumpla con los requisitos de la norma relevante, los requisitos y objetivos propios de la organización, y siga siendo eficiente y eficaz. Será necesario realizar un programa de auditorías para confirmarlo.
¿Qué es una auditoría ISO 27001?
Una auditoría ISO 27001 implica que un auditor competente y objetivo revise el SGSI o elementos del mismo y pruebe que cumple con los requisitos de la norma, los requisitos de información propios de la organización y los objetivos para el SGSI y que las políticas, procesos y otros controles sean efectivos. y eficiente.
Además del cumplimiento general y la eficacia de la ISMS, una auditoría ISO 27001 está diseñada para permitir que una organización gestione sus riesgos de seguridad de la información a un nivel tolerable, será necesario comprobar que los controles implementados realmente reducen el riesgo hasta un punto en el que los propietarios del riesgo estén dispuestos a tolerarlo. el riesgo residual.
¿Cuáles son los tipos de auditorías?
La norma requiere que una organización esté obligada a planificar y realizar un cronograma de “auditorías internas” para poder reclamar el cumplimiento al estándar. Además, si una organización desea obtener la certificación, requerirá que un “organismo de certificación” lleve a cabo “auditorías externas”, una organización acreditada con los recursos competentes para realizar auditorías según la norma ISO 27001.
Para garantizar el máximo beneficio del SGSI, se recomienda encarecidamente garantizar que el organismo de certificación seleccionado esté acreditado por una autoridad supervisora reconocida. En el Reino Unido, los organismos de certificación están acreditados por UKAS (el Servicio de Acreditación del Reino Unido). Este es el único organismo de acreditación autorizado por el gobierno en el Reino Unido.
Internal audit
Auditorías internas, como su nombre indica, son aquellas auditorías que realiza la organización sobre el SGSI organizacional. Si la organización no tiene competente y auditores objetivos dentro de su propio personal, estas auditorías pueden ser realizadas por un contratista.
Auditoría externa
El término “auditorías externas” se aplica más comúnmente a aquellas auditorías realizadas por un organismo de certificación con el propósito de obtener o mantener la certificación; sin embargo, también puede usarse para referirse a aquellas auditorías realizadas por otros. partes interesadas (por ejemplo, socios o clientes) que deseen Obtener su propia seguridad del SGSI de la organización.. Esto es especialmente cierto cuando dicha parte tiene requisitos que van más allá de los de la norma.
¿Por qué son importantes las auditorías ISO 27001?
Sin verificar Cómo se gestiona y funciona su SGSI, no existe ninguna garantía real de que esté cumpliendo los objetivos que se ha fijado. Las auditorías contribuyen en cierta medida a proporcionar esta seguridad.
¿Por qué necesito auditar mi SGSI?
Hay varias razones para auditar su SGSI:
- La norma lo requiere – cláusula 9.2, Internal audit exige un programa de auditorías internas.
- Para garantizar que su SGSI se implemente y opere adecuadamente.
- A garantizar que el SGSI cumpla con los requisitos del estándar.
- Garantizar que el SGSI cumple con los requisitos propios de la organización.
- A Garantizar que el SGSI cumpla con los objetivos establecidos por la organización para la seguridad de la información. contra la cláusula 6.2 Objetivos de seguridad de la información y planificación para alcanzarlos.
- Para garantizar que el SGSI sea eficaz a la hora de reducir riesgos de seguridad de la información a un nivel tolerable.
- Para garantizar que cualquier no conformidades y acciones correctivas se abordan oportunamente.
- Para asegurar eso seguridad de la información las debilidades, eventos e incidentes se informan, gestionan y resuelven de manera efectiva y eficiente.
¿Qué implican las auditorías internas ISO 27001?
Revisión de la documentación – Se trata de una revisión de las políticas, procedimientos, estándares y documentación de orientación de la organización para garantizar que sean adecuados para su propósito y que se revisen y mantengan.
Auditoría evidencial (o revisión de campo) – Se trata de una actividad de auditoría que muestrea activamente evidencia para demostrar que se están cumpliendo las políticas, que se están siguiendo los procedimientos y normas y que se están considerando las orientaciones.
ECONOMÉTRICOS – Luego de la revisión de la documentación y/o el muestreo de evidencia, el auditor evaluará y analizará los hallazgos para confirmar si se están cumpliendo los requisitos de la norma.
Informe de auditoria – Será necesario preparar un informe de auditoría según lo exige la norma de la Cláusula 9.2 f) y proporcionarlo a la dirección para garantizar la visibilidad.
Revisión de gestión – Esta es una actividad requerida según la Cláusula 9.3 Revisión de la gestión que debe considerar los hallazgos de las auditorías realizadas para garantizar que se implementen acciones correctivas y mejoras según sea necesario.
¿Qué implica una auditoría externa ISO 27001?
Los procesos de auditoría externa son esencialmente los mismos que los del programa de auditoría interna, pero generalmente se llevan a cabo con el fin de lograr y mantener la certificación. El programa de auditorías externas [de certificación] será determinado por los auditores externos [organismo de certificación] pero seguirá un requisito sistemático.
El auditor correspondiente proporcionará un plan de auditoría y, una vez que la organización lo confirme, se asignarán los recursos y se acordarán las fechas, horarios y lugares. Luego, la auditoría se llevará a cabo siguiendo el plan de auditoría.
¿Con qué frecuencia se realizan auditorías externas?
Diferentes Los organismos de acreditación de todo el mundo establecen diferentes requisitos para el programa de certificación. auditorías, sin embargo, en el caso de certificados acreditados por UKAS, esto incluirá:
- Auditoría de certificación inicial: realizada en 2 etapas.
- Auditorías de vigilancia periódicas, normalmente cada seis meses o, como mínimo, anualmente.
- Auditorías de recertificación realizadas cada 3 años.
¿Cuáles son los tipos y etapas de las auditorías externas?
- Auditoría de la etapa 1 – “Revisión de la documentación” para establecer que la organización cuenta con la documentación requerida para un SGSI operativo.
- Auditoría de la etapa 2 – “Auditoría de Certificación” – una auditoría probatoria para confirmar que la organización está operar el SGSI de acuerdo con la norma, es decir, que las políticas, procedimientos y normas documentadas se implementen, sean operativas y efectivas. Esta auditoría probatoria se realiza mediante muestreo.
- Auditoria de vigilancia – También conocidas como “Auditorías periódicas”, se llevan a cabo de forma programada entre las auditorías de certificación y recertificación y se centrarán en una o más áreas del SGSI.
- Auditoría de recertificación – Se lleva a cabo antes de que expire el período de certificación (3 años para los certificados acreditados por UKAS) y es una revisión más exhaustiva que las realizadas durante una auditoría de vigilancia. Cubre todas las áreas de la norma.
Además del programa de auditorías externas de certificación formal mencionado anteriormente, es posible que un tercero interesado, como un cliente, un socio o un regulador, le solicite someterse a una auditoría externa. La parte pertinente normalmente le proporcionará un plan de auditoría y realizará un seguimiento con un informe de auditoría que deberá incorporarse a su SGSI. Revisión de gestión.
El valor de una auditoría ISO 27001 con/sin certificación
La decisión de la organización de lograr Cumplimiento y posiblemente certificación ISO 27001. Dependerá de las razones para implementar y operar un SGSI formal y documentado y esto a menudo se documentará dentro de un caso de negocios que identificará los objetivos esperados y el retorno de la inversión.
Sin certificación, la organización sólo puede afirmar "cumplimiento" de la norma, y ningún tercero acreditado garantiza este cumplimiento. Si el motivo para implementar el SGSI es sólo mejorar la gestión de la seguridad y el aseguramiento interno, entonces esto puede ser suficiente.
Para obtener el máximo beneficio y retorno de la inversión del SGSI en términos de proporcionar seguridad a las operaciones externas de la organización. partes interesadas y las partes interesadas, se requerirá un programa de auditoría de certificación acreditado, externo e independiente.
Recuerde que la única diferencia en términos de esfuerzo entre “cumplimiento” y “certificación” es el programa de auditorías de certificación externas. Esto se debe a que para afirmar verdaderamente el “cumplimiento” del estándar, la organización aún tendrá que hacer todo lo que exige el estándar; el “cumplimiento” autoevaluado no reduce los recursos necesarios ni el esfuerzo involucrado en la implementación y operación de un SGSI.
Preparación para una auditoría de certificación ISO 27001
Al prepararse para una auditoría de certificación se deben considerar los siguientes puntos clave:
¿Están implementados y operativos los procesos clave del SGSI?
- Contexto organizacional – Comprender y documentar el contexto organizacional y los requisitos para la seguridad de la información, incluidos los de las partes interesadas. Esto también incluirá documentar el alcance del SGSI
- Gestión de riesgos y oportunidades – ¿La organización ha identificado y evaluado seguridad de la información riesgos y oportunidades y documentó un plan de tratamiento?
- Liderazgo – ¿Se puede demostrar un fuerte liderazgo de alto nivel, por ejemplo, mediante la provisión de recursos y una declaración de compromiso documentada dentro de la organización? politica de seguridad.
- Internal audit – ¿Se ha documentado, acordado e iniciado un programa de auditorías internas de conformidad con la Cláusula 9.2?
- Revisión de gestión – ¿Se ha sometido el SGSI a una revisión formal por parte de la dirección de conformidad con la Cláusula 9.3?
- Acción correctiva – ¿Puede la organización demostrar que las acciones correctivas y las mejoras se están gestionando e implementando de manera eficaz y eficiente?
¿Están los documentos requeridos en vigor y aprobados?
- Alcance del SGSI declaración (Cláusula 4.3)
- Organizacionales: política de seguridad de la información (Cláusula 5.2)
- Gestión del riesgo método (Cláusulas 6.1.2 y 6.1.3)
- Registro de riesgos y plan de tratamiento (6.1.3 e)
- Declaración de aplicabilidad (Cláusula 6.1.3 d)
- Políticas y procesos requerido bajo el Anexo A cuando los controles son aplicables
¿Son fáciles de localizar y acceder a los registros probatorios?
Tener todo el personal y los contratistas relevantes recibidos. ¿Educación, capacitación y concientización sobre seguridad de la información?
También es una buena práctica asegurarse de que quienes serán entrevistados hayan sido informados sobre qué esperar durante la auditoría y cómo responder. Además, asegúrese de que puedan acceder fácilmente a los documentos y pruebas que pueda solicitar el auditor.
¿Quién realiza una auditoría ISO 27001?
Todas las auditorías según ISO 27001 deben ser realizadas por auditores competentes y objetivos.
Para demostrar competencia para la auditoría ISO 27001, generalmente se requiere que el auditor tenga conocimiento demostrable de la norma y de cómo realizar una auditoría. Esto puede ser asistiendo a un curso de Auditor Líder ISO 27001 o teniendo otra calificación de auditoría reconocida y luego conocimiento demostrable de la norma. Es posible demostrar que un auditor es competente sin una capacitación formal; sin embargo, es probable que esta sea una conversación más difícil con su organismo de certificación.
Para demostrar objetividad, se debe demostrar que el auditor no está auditando su propio trabajo y que no está indebidamente influenciado a través de sus líneas jerárquicas. Para organizaciones más pequeñas o aquellas que desean una objetividad más clara, puede ser más práctico contratar a un auditor.
Los organismos de certificación habrán verificado la competencia de sus auditores y deberían estar preparados para demostrárselo si así lo solicita.
¿Cómo
¿ISMS.online hace que el proceso de auditoría sea más eficiente?
ISMS.online incluye un proyecto de programa de auditoría prediseñado que cubre auditorías internas y externas y también puede incluir auditorías contra RGPD si has elegido esta opción.
El programa de auditoría prediseñado incluye:
- Actividades para 2 auditorías recomendadas previas a la certificación
- A plan de auditorías internas para el primer período de certificación de 3 años
- Marcadores de posición para su certificación externa y auditorías periódicas
Además de proporcionar el proyecto del programa de auditoría, la capacidad de vincularse rápidamente a otras áreas de trabajo dentro del todo en un solo lugar. Plataforma en línea ISMS significa que vincular los hallazgos de la auditoría con los controles, con las acciones correctivas y mejoras e incluso con los riesgos es fácil y accesible. Esto le permitirá demostrar fácilmente a su auditor externo la gestión conjunta de los hallazgos identificados.
¿Necesitas más información? Por favor póngase en contacto con hable con uno de nuestros expertos hoy.
¿Con qué frecuencia debo realizar una auditoría interna?
Debe realizar auditorías internas que cubran todo el estándar, como mínimo, durante el período de certificación (3 años para los certificados acreditados por UKAS).
Podría hacer esto como una auditoría única, pero lo más común es que se divida en auditorías más pequeñas durante un período de 3 años.
También es importante auditar algunas áreas con mayor frecuencia si los niveles de riesgo son altos o el área está sujeta a cambios frecuentes.
Se recomienda auditar los requisitos del sistema de gestión (Cláusulas 4 a 10) anualmente y esto puede vincularse a la revisión de la gestión del SGSI, que también debe realizarse anualmente.
¿Cuántos detalles debería incluir en un ejercicio de auditoría interna ISO 27001?
Lo mínimo requerido es que usted documente las áreas auditadas, cualquier evidencia muestreada y cualquier no conformidad y oportunidad de mejora identificada; sin embargo, es una buena práctica y proporciona un beneficio significativamente mayor si documenta todos los hallazgos, incluso cuando algo está funcionando correctamente, y proporcionará una sensación más positiva al informe de auditoría.
¿Qué implica una auditoría de certificación ISO 27001?
Una auditoría inicial de certificación ISO 27001 implica:
Auditoría de la etapa 1 - “Revisión de Documentación” para establecer que la organización cuenta con la documentación requerida para un SGSI operativo.
Auditoría de la etapa 2 - “Auditoría de Certificación” – una auditoría probatoria para confirmar que la organización está operando el SGSI de acuerdo con el estándar – es decir, que las políticas, procedimientos y estándares documentados están implementados, son operativos y efectivos. Esta auditoría probatoria se realiza mediante muestreo.
Para mantener su certificación en el futuro, esto implica:
Auditorías de vigilancia - También conocidas como “Auditorías periódicas”, se llevan a cabo de forma programada entre las auditorías de certificación y recertificación y se centrarán en una o más áreas del SGSI.
Auditoría de recertificación - Se lleva a cabo antes de que expire el período de certificación (3 años para los certificados acreditados por UKAS) y es una revisión más exhaustiva que las realizadas durante una auditoría de vigilancia. Cubre todas las áreas de la norma.
