La nueva versión ISO 27001:2013 ya está publicada, pero las organizaciones tienen un periodo para adaptarse por lo que todas ellas siguen trabajando con la versión anterior.
En este artículo hablaremos de la gestión de la auditoria de los controles de seguridad según la norma ISO27001:2007, que se incluye en la fase de Comprobación del ciclo PDCA.
El artículo 6 de la ISO27001, contiene toda la información referida a las auditorias internas. En la auditoria los encargados de realizar el análisis y la gestión de sistemas serán profesionales que identificaran, enumeraran y describirán las posibles vulnerabilidades que se puedan dar.
En la organización se realizaran auditorias internas del sistema de gestión de seguridad de la información de un modo planificado, además se garantizara la objetividad e imparcialidad a la hora de determinar si los objetivos de control, los controles, los procesos y los procedimientos del SGSI cumplen:
– los requisitos de la norma, la legislación y normativa aplicables.
– los requisitos de seguridad de la información identificados.
– se implantan y se mantienen efectivamente y dan el resultado deseado.
Para que la auditorias se realicen correctamente, se debe tener una buena planificación que considere el estado e importancia de los procesos y las áreas que se van a auditar, igualmente tendrán en cuenta los resultados de las auditorias que se han hecho con anterioridad.
Se requiere del establecimiento de los criterios, alcance, frecuencia y métodos empleados en la auditoria, asimismo como la selección de auditores. Esta información, además de los resultados y el mantenimiento de los registros quedaran establecidos en un proceso documentado.
Durante la auditoria habrá un responsable para cada una de las áreas auditadas, este será el que revise que todo el proceso se realiza correctamente y en el tiempo oportuno.
En las actividades de seguimiento se incluirá la verificación de las acciones realizadas y los informes de los resultados de la verificación.
La ISO 27002:2009 contiene una Guía de implantación de los Controles de auditoría de sistemas de información, en ella se recomienda el cumplimiento de un conjunto de directrices.
Es muy importante la protección del acceso a las herramientas de auditoria para evitar un uso indebido, ya que es un proceso independiente de los sistemas de desarrollo y de los sistemas operativos.
la Plataforma Tecnológica ISOTools apoya la planificación y ejecución de las auditorias del SGSI, además permitiendo revisar fácilmente el cumplimiento de los requisitos que exige la norma y documentar toda la información. Los responsables recibirán alertas automáticas hasta dar conformidad a las mejoras.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…