Jan, 30-2023
ISO 27001
0 Comments
¿Sabe cómo hacer la auditoría interna de un SGSI basado en la ISO 27001?

Gestión de Auditoría Interna

Es importante incidir que las auditorías internas deben ser realizadas por personal que no haya participado en la implantación del SGSI, para asegurar la objetividad e imparcialidad de la auditoría y la independencia de los auditores.

Estás auditorías deben realizarse al menos una vez al año. El alcance de una auditoría comprenderá de la revisión del sistema completo de la empresa que se basa n la ISO 27001, como la revisión de controles que se encuentran dentro de la entidad.

Ejecución de Auditoría Interna

para una correcta ejecución de esta, la persona a cargo debe informar previamente a los responsables de las áreas auditadas que serán sometidos a un proceso auditor interno y se les pedirá con tiempo la documentación necesaria para podr ser analizada por el.

La Auditoría Interna del SGSI consta de la revisión de dos partes diferenciadas:

  • Sistema de Gestión: revisión de documentación, revisión del marco de gestión del SGSI, contexto, alcance, análisis y gestión del riesgo, declaración de aplicabilidad (SOA), política de seguridad, roles de Seguridad, gestión de no conformidades, cuadro de mando, etcétera.
  • Pruebas de cumplimiento: en esta fase se comprueba el grado y eficacia de la implantación de controles de seguridad en la entidad. Se harán entrevistas a propietarios de activos, responsables de procesos de negocio, usuarios directos o indirectos del SGSI, se revisan áreas de riesgo, se comprueban objetivos y metas establecidos, documentación in situ del sistema, etcétera.

Informe sobre los resultados de la auditoría

cuando se recoge toda la información para comprobar el cumplimiento de los distintos apartados y controles de la norma, se genera un informe interna cuyos resultados deben ser puestos en conocimiento de la dirección de la organización, a´reas auditadas y comité de seguridad para evaluación y tratamiento a nivel corporativo.

El responsable del SGSI será el encargado de informar de los resultados obtenidos, así como del mantenimiento de los registros derivados de la realización de auditorías internas.

El informe contendrá al menos los siguientes puntos:

  • Áreas y alcance auditado, así como la fecha de auditoría.
  • No conformidades y observaciones encontradas, acordadas con los auditados.
  • Valoración de los puntos fuertes y las áreas susceptibles de mejora del SGSI.
  • Acciones correctivas propuestas para las salvedades o no conformidades identificadas, destinadas a garantizar el cumplimiento de una determinada desviación existente actualmente.
  • Recomendaciones, que no se traten de acciones correctivas de una determinada salvedad, si no de oportunidades de mejora o acciones que podrían suponer una evolución o mayor madurez del proceso auditado en cuestión, pero que en la actualidad no constituye una salvedad o no conformidad.
  • Documentación auditada.
  • Firma del Auditor/Auditores.

Planes de acción

Cuando esta auditoria finaliza, el responsable de SGSI debe establecer acciones de seguimiento para comprobar la eficiencia de las acciones corregidas de la auditoría interna. Estos planes de acción deberán ser aprobados al máximo nivel posible en la organización, con esto se garantiza la corrección de acciones o procesos con los que no se esté cumplimiento completamente.

La contratación de un servicio de auditoría externo con conocimientos específicos en la materia a auditar es clave para que su compañía disponga de un informe de auditoría objetivo. 

Elena fabiola Farfán Morales
Profesional de las comunicaciones, relacionadora publica hoy viviendo la pasión de conectar atraves de la generación de contenido

Categorías

Tendencias
32
Motivacion
2
Concienciación
7
CIS Controls
3
Ransomware
14
Phishing
8
Cracker
2
Actualidad
23
ISO 27001
11
Ingeniería social
6
3CX
2
Análisis y opinión
8
Consejos
4
Backup
7
Firewalls
1
Zero Trust
1
Hackers
2
Ciberseguridad
79
AI
2
Biometría
1
Inteligencia Artificial
2
Portal de Clientes
7
PRTG
5

Noticias recientes

¿Tu monitoreo está preparado para el crecimiento de tu infraestructura industrial? ¿Tu monitoreo está preparado para el crecimiento de tu infraestructura industrial?
Fortalecimiento del ecosistema de correo electrónico: nuevos requisitos de Outlook para remitentes d Fortalecimiento del ecosistema de correo electrónico: nuevos requisitos de Outlook para remitentes d
8 Layer LATAM: Reflexiones sobre la Ciberseguridad en 2024 y Perspectivas para 2025 8 Layer LATAM: Reflexiones sobre la Ciberseguridad en 2024 y Perspectivas para 2025
Protege tus compras online este Black Friday con los expertos en ciberseguridad de 8Layer Protege tus compras online este Black Friday con los expertos en ciberseguridad de 8Layer

Relacionado

Ver todos
Sistema de Gestión de Seguridad de la Información
La importancia del sistema de gestión de seguridad de la información que se basa en la norma ISO 2
Elena fabiola Farfán Morales
Dec, 20-2022 ISO 27001
¿Por qué la norma ISO 27001 es importante para la continuidad de tu negocio?
¿En qué tipo de empresas podemos implementar la ISO 27001? La norma ISO 27001 se puede desarrollar
Elena fabiola Farfán Morales
Dec, 20-2022 ISO 27001
Cómo proteger los datos en el teletrabajo con ISO 27001
En el pasado, trabajar desde casa era una opción para los autónomos y las empresas que estaban dispu
Elena fabiola Farfán Morales
Dec, 22-2022 ISO 27001
Razones por las que necesitas que tu proveedor de IT conozca la ISO 27001
La ISO 27001 es una norma internacional de seguridad de la información que ayuda a asegurar la confi
Elena fabiola Farfán Morales
Jan, 18-2023 ISO 27001