El documento describe las ventajas financieras de implementar ISO 27001, incluyendo obtener una certificación de seguridad de la información reconocida internacionalmente que puede mejorar la confianza de clientes y socios. Explica el proceso de auditoría para la certificación, que incluye solicitar una auditoría, desarrollar un plan de auditoría, realizar auditorías inicial y de seguimiento, e implementar acciones correctivas. También destaca algunos controles clave requeridos como la asignación de responsabilidades de seguridad, política de seguridad, form
3. 1. Introducción
ISO 27001 es una norma certificable.
Una vez que la organización tenga implantado el Sistema de Gestión de
la Seguridad de la Información puede pasar a solicitar a una entidad
certificadora acreditada una auditoría para obtener la certificación del
sistema basado en ISO-27001.
ISOTools ISO 27001
3
4. 2. Proceso de auditoría
• Solicitud de auditoría. La empresa interesada debe pedir a la entidad
de certificación este hecho y ésta ha de tomar datos de la misma.
• Oferta. La certificadora ha de responder exponiendo su oferta y
compromiso para el proceso.
• Plan de auditoría. Consiste en la designación de auditores, alcance,
fijación de fechas…
• Pre – auditoría. Si se quiere se puede realizar una auditoría previa
para dar información acerca de la situación actual y dar orientación
para facilitar la superación de la auditoría real.
ISOTools ISO 27001
4
5. 2. Proceso de auditoría
• Fase 1.
Se trata de un análisis, por parte del auditor jefe, de la
documentación básica del SGSI de la empresa cliente, resaltando los
probables incumplimientos del estándar que se corroborarán en la
siguiente fase.
Al mismo tiempo se ha de preparar un informe de dicho análisis, que
se enviará al cliente junto con el plan de auditoría. Se da un período
de 2 a 6 meses para pasar a la siguiente fase.
ISOTools ISO 27001
5
6. 2. Proceso de auditoría
• Fase 2.
Aquí se entra en detalle en la auditoría, se revisan las políticas, la
implantación de los controles de seguridad y la eficacia del sistema.
Inicialmente se tiene una reunión de apertura para revisar el objetivo,
alcance, proceso, personal, instalaciones y recursos fundamentales.
Seguidamente se efectúa una revisión de los hallazgos de la primera
fase y de todos aquellos puntos que considere de interés el auditor.
Esta fase termina con una reunión de cierre en la que se expone el
informe de auditoría.
ISOTools ISO 27001
6
7. 2. Proceso de auditoría
• Certificación. Es el momento de implantar acciones correctivas
relativas a no conformidades o verificar la correcta implantación del
SGSI de acuerdo a ISO27001.
• Auditoría de seguimiento. La auditoría de mantenimiento estará
centrada en partes concretas del sistema sirve para comprobar el uso
del SGSI y fomentar la mejora continua.
• Auditoría de recertificación. La auditoría formal tiene una caducidad
a los tres años, por lo que a esta fecha ha de repetirse todo el
proceso.
ISOTools ISO 27001
7
8. 3. Controles clave
• Asignación de las responsabilidades en el ámbito de la seguridad.
• Política de seguridad.
• Formación y capacitación relativa a la seguridad.
• Gestión de la continuidad del negocio.
• Registro de incidencias.
• Protección de los datos personales.
• Derechos de propiedad intelectual.
• Protección de registros de la organización.
ISOTools ISO 27001
8
9. La Plataforma Tecnológica ISOTools da la posibilidad, para nuestro
SGSI, de originar informes que nos den a conocer debilidades, no
conformidades, desviaciones y oportunidades de mejora.
ISOTools ISO 27001
9