Saltear al contenido principal
Certificación Norma ISO 27001

Auditoría de certificación Norma ISO 27001

Certificación Norma ISO 27001

Certificación Norma ISO 27001

La mayor parte de los auditores no suelen llevar consigo un listado de posibles preguntas que realizar en la auditoría de certificación de la norma ISO 27001, puesto que cada empresa es diferente, así que deben improvisar dentro de unos criterios previamente establecidos.

El trabajo que debe desarrollar el auditor es el de revisar toda la documentación aportada por la organización, realizar las preguntas pertinentes y buscar pruebas. La norma ISO 27001 recoge una serie de requisitos que la empresa debe cumplir para asegurar su cumplimiento. El auditor debe revisar cada  uno de los procedimientos, registros, política de seguridad y personas de la organización. En cuanto al personal que forma parte de la organización, se deberán llevar a cabo una serie de entrevistas para garantizar que el Sistema de Gestión de seguridad de la Información se encuentra correctamente implementado en la organización.

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

Documentación obligatoria

En primer lugar, el auditor deberá revisar toda la documentación existente acerca del Sistema de Gestión de Seguridad de la Información y solicitar evidencias de los documentos que requiere la norma ISO 27001. Para los controles de seguridad se usará la Declaración de Aplicabilidad como guía.

El auditor deberá revisar también cada uno de los documentos que la empresa haya desarrollado para apoyar la implementación del Sistema de Gestión de Seguridad de la Información o de los distintos controles, como puede ser el diagrama de red, el plan de proyecto o el listado de la documentación.

Evidencia

Cuando se hayan comprobado cada uno de los documentos que forman parte del Sistema de Gestión de Seguridad de la Información, se debe verificar que todo este recogido por escrito y se corresponda con la realidad.

Entrevistas

El auditor que ha comprobado que la empresa documenta todo aquello que utiliza debe verificar que los trabajados de dicha organización están familiarizados con estos documentos y que se usan a la hora de llevar a cabo las actividades día a día, es decir, debe verificar si se está trabajando correctamente con el Sistema de Gestión de Seguridad de la Información.

Una de las cuestiones más relevantes de aquella empresa que cuenta con el certificado de la norma ISO 27001 es la concienciación de los empleados. Por ello, el auditor debe de realizar una serie de entrevistas a los distintos trabajadores de la organización para comprobar el grado de conocimiento de estos acerca de los documentos más relevantes que se aplican, los cuales son:

  • Política de seguridad de la información
  • Cláusulas de confidencialidad
  • Uso aceptable de los activos
  • Política de control de acceso

 

El auditor puede entrevistarse también con los distintos responsables de los sistemas, áreas físicas y departamentos, con el objetivo de obtener las percepciones de estos de la aplicación de la norma ISO 27001 en la empresa. En el transcurso de estas entrevistas, las preguntas realizadas por el auditor estarán orientadas a la familiarización de los trabajadores con las distintas funciones y roles que desempeñan en la organización, además de comprobar si se cumplen o no cada uno de los controles que están implementados en la misma.

A modo de conclusión podemos resumir que el auditor suele solicitar los siguientes elementos:

  • Los documentos requeridos por la norma ISO 27001 y cualquier otro tipo de documento que exista en el Sistema de Gestión de Seguridad de la Información.
  • Verificar que se cumple con cada uno de los documentos establecidos, como puede ser la política de seguridad de la información o los procedimientos.
  • Llevar a cabo una serie de entrevistas con los empleados de la organización.

Con el objetivo de preparar la organización correctamente para superar con éxito las preguntas que el auditor realizará en el transcurso de la auditoría, lo primero que se debe comprobar es que se dispone de todos los documentos necesarios, y posteriormente verificar que la organización lleva a cabo todo lo que se ha recogido en la documentación y que se puede llegar a probar todo lo documentado a través de registros. Por ello, es muy importante que los empleados conozcan cada uno de los documentos que se les pueden aplicar. Debe asegurarse que la empresa ha implementado la norma ISO 27001 y que esta acepta cada una de las operaciones que se llevan a cabo diariamente, lo cual no será posible si la documentación se crea exclusivamente para satisfacer la auditoría de certificación.

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba