¿Qué implica una auditoría ISO 27001?

¿Qué es una auditoría ISO 27001?

An ISO 27001 La auditoría implica que un auditor competente y objetivo revise:

• Los ISMS o elementos del mismo y probar que cumple con los requisitos de la norma,
• Los propios requisitos de información de la organización, los objetivos del SGSI,
• Que las políticas, procesos y otros controles sean prácticos y eficientes.

Además del cumplimiento y eficacia general del SGSI, como ISO 27001 está diseñada para permitir a una organización gestionar sus riesgos de seguridad de la información. a un nivel tolerable, será necesario comprobar que los controles implementados realmente reducen el riesgo hasta un punto en el que los propietarios del riesgo estén felices de tolerar el riesgo residual.

¿Cuáles son los tipos de auditorías?

La norma exige que una organización planifique y lleve a cabo un cronograma de “auditorías internas” para poder afirmar que cumple con la norma. Además, si una organización desea obtener la certificación, requerirá que un “organismo de certificación” lleve a cabo “auditorías externas”, una organización con recursos de auditoría competentes según la norma ISO 27001.

Para garantizar el máximo beneficio del SGSI, se recomienda encarecidamente garantizar que el organismo de certificación seleccionado esté acreditado por una autoridad supervisora ​​reconocida. En el Reino Unido, los organismos de certificación están acreditados por UKAS (el Servicio de Acreditación del Reino Unido).

Internal audit

Las auditorías internas, como su nombre indica, son aquellas auditorías realizadas con recursos propios de la organización. Si la organización no cuenta con auditores competentes y objetivos dentro de su propio personal, estas auditorías pueden ser realizadas por un proveedor contratado. A menudo se las denomina “auditorías de segunda parte”, ya que el proveedor actúa como un “recurso interno”.

Auditoría externa

El término “auditoría externa” se aplica más comúnmente a aquellas auditorías realizadas por un organismo de certificación para obtener o mantener la certificación. Sin embargo, el término también puede usarse para referirse a aquellas auditorías realizadas por otras partes interesadas (por ejemplo, socios o clientes) que desean obtener su propia seguridad del SGSI de la organización. Esto es especialmente cierto cuando dicha parte tiene requisitos que van más allá de los de la norma.

Valor de una Auditoría ISO 27001 con/sin Certificación

La decisión de la organización de lograr Cumplimiento y posiblemente certificación ISO 27001. dependerá de la implementación y operación de un SGSI formal y documentado. A menudo, esto se documentará dentro de un caso de negocio que identificará los objetivos esperados y el retorno de la inversión.

Sin certificación, la organización sólo puede afirmar "cumplimiento" de la norma, y ​​ningún tercero acreditado garantiza este cumplimiento. Si el motivo para implementar el SGSI es sólo mejorar la gestión de la seguridad y el aseguramiento interno, entonces esto puede ser suficiente.

Para obtener el máximo beneficio y retorno de la inversión del SGSI en términos de proporcionar seguridad a las operaciones externas de la organización. partes interesadas y partes interesadas, se requerirá un programa de auditoría de certificación acreditado, externo e independiente.

Recuerde que la única diferencia en términos de esfuerzo entre “cumplimiento” y “certificación” es el programa de auditorías de certificación externas. Esto se debe a que para afirmar que “cumple” con el estándar, la organización aún tendrá que hacer todo lo que exige el estándar; el “cumplimiento” autoevaluado no reduce los recursos necesarios ni el esfuerzo involucrado en la implementación y operación de un SGSI.

Preparación para una auditoría de certificación ISO 27001

Al prepararse para una auditoría de certificación, se deben considerar los siguientes puntos clave:

• son la clave proceso del SGSI implementado y operativo?
  • Contexto organizacional: comprender y documentar el contexto organizacional y los requisitos para la seguridad de la información, incluidas las partes interesadas. Esto también incluirá documentar el alcance del SGSI.
  • Gestión de riesgos y oportunidades: ¿la organización ha identificado y riesgos de seguridad de la información evaluados y oportunidades y documentó un plan de tratamiento?
  • Liderazgo: ¿Se puede demostrar un fuerte liderazgo de alto nivel? Por ejemplo, mediante la provisión de recursos y una declaración de compromiso documentada dentro del política de seguridad organizacional.
  • Auditoría interna: ¿Se ha documentado, acordado e iniciado un programa de auditorías internas de conformidad con la Cláusula 9.2?
  • Revisión de la gestión: ¿el SGSI se ha sometido a una revisión formal de la gestión de acuerdo con Cláusula 9.3
  • Acción correctiva y Mejora continua – ¿Puede la organización demostrar que las acciones correctivas y las mejoras se están gestionando e implementando de manera eficaz y eficiente?
• ¿Están los documentos requeridos en vigor y aprobados?
  • Declaración de alcance del SGSI (Cláusula 4.3)
  • Política de seguridad de la información organizacional (Cláusula 5.2)
  • Método de gestión de riesgos (Cláusula 6.1.2 y 6.1.3)
  • Registro de riesgos y plan de tratamiento (Cláusula 6.1.3 e)
  • Declaración de aplicabilidad (Cláusula 6.1.3 d)
  • Políticas y procesos requerido bajo el Anexo A cuando los controles son aplicables.
• ¿Son fáciles de localizar y acceder a los registros probatorios?
• Tener todo el personal y los contratistas relevantes recibidos. educación en seguridad de la información, capacitación y concientización? También es una buena práctica asegurarse de que quienes serán entrevistados hayan sido informados sobre qué esperar durante la auditoría y cómo responder. Además, asegúrese de que puedan acceder fácilmente a los documentos y pruebas que pueda solicitar el auditor.

¿Quién realiza las auditorías ISO 27001?

Todas las auditorías según ISO 27001 deben ser realizadas por auditores competentes y objetivos.

Para demostrar competencia para la auditoría ISO 27001, generalmente se requiere que el auditor tenga conocimiento demostrable de la norma y de cómo realizar una auditoría. Esto puede ser asistiendo a un curso de Auditor Líder ISO 27001 o teniendo otra calificación de auditoría reconocida y luego conocimiento demostrable de la norma. Es posible demostrar que un auditor es competente sin una formación formal. Sin embargo, es probable que esta sea una conversación más difícil con su organismo de certificación.

Para demostrar objetividad, se debe demostrar que el auditor no está auditando su propio trabajo y que no está indebidamente influenciado a través de sus líneas jerárquicas.

Puede resultar más práctico para organizaciones más pequeñas o para aquellas que desean una objetividad más clara contratar un auditor.

Los organismos de certificación habrán verificado la competencia de sus auditores y deberían estar preparados para demostrárselo si así lo solicita.

¿Cómo ISMS.online hace que el proceso de auditoría sea más eficiente?

ISMS.online incluye un proyecto de programa de auditoría prediseñado que cubre auditorías internas y externas y también puede incluir auditorías según GDPR si ha elegido esta opción.

El programa de auditoría prediseñado incluye:

• Actividades para 2 auditorías recomendadas antes de la certificación
• Un plan de auditorías internas para el primer período de certificación de 3 años.
• Marcadores de posición para su certificación externa y auditorías periódicas

Además de proporcionar el proyecto del programa de auditoría, la capacidad de vincularse rápidamente a otras áreas de trabajo dentro de la plataforma todo en uno ISMS.online significa vincular los hallazgos de la auditoría con los controles, las acciones correctivas y las mejoras, e incluso los riesgos se hacen fáciles y accesible. Esto le permitirá demostrar fácilmente a su auditor externo la gestión conjunta de los hallazgos identificados.