IQ

Servicios Relacionados

Auditoría Interna ISO 27001

De forma periódica, como mínimo anualmente, es necesario realizar auditorías internas para comprobar si los controles, procesos y procedimientos del SGSI son conformes a la norma y la legislación, y que los objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.

1
La auditoría debe ser independiente. Una auditoría no puede enterderse como adecuada si la correspondiente independencia del auditor que la realiza. No debe ser realizada por el propio consultor que implantó el sistema ni por el personal del propio departamento que gestiona el sistema.
2
Experiencia del auditor. Para poder realizar una buena auditoría y poder hacer recomendaciones adecuadas a las necesidades del clientes es imprescindible que el auditor tenga experiencia en el sector. Es especialmente interesante que el auditor pueda acreditar dicha experiencia con certificaciones como CISA (Certified Information Systems Auditor).
3
Estructura del documento. El documento deberá incluir como mínimo:
  • Declaración de objetivos, alcance, carácter y extensión de los procedimientos de auditoría
  • Opinión y conclusión respecto a si los controles y procedimientos son adecuados
  • Hallazgos detallados
  • Salvedades
  • Acciones correctivas a llevar a cabo
  • Acciones complementarias en caso de que sean necesarias.
  • Recomendaciones
  • Limitaciones
  • Declaración sobre las directrices seguidas