IQ

Servicios Relacionados

Auditoría y certificación en ISO 27001

La norma ISO 27001 es certificable. La organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001.

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:

• Política de seguridad.

• Asignación de responsabilidades de seguridad.

• Formación y capacitación para la seguridad.

• Registro de incidencias de seguridad.

• Gestión de continuidad del negocio.

• Protección de datos personales.

• Salvaguarda de registros de la organización.

• Derechos de propiedad intelectual.

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:

1
Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
2
Oferta. Respuesta en forma de oferta por parte de la certificadora y compromiso.
3
Plan de Auditoría.

Designación de auditores, alcance, determinación de fecha.

4
Pre-auditoría. Opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
5
Fase 1: No necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
6
Fase 2: Es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
7
Certificación. En el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
8
Auditoría de seguimiento. Semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
9
Auditoría de re-certificación. Cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.