-

HEADERTOP TELEFONO PAISES IP Y REDES

BUSINESS SCHOOL - 00 34 912 797 949

Imagen de perfil

Auditar ISO 27001. Cómo definir el procedimiento de auditoría

ai_19_03_14

Auditor interno

Los sistemas de gestión basados en la norma ISO 27001 pueden contar con un procedimiento de auditoría definido para dar cumplimiento a los requisitos de la norma.

Este procedimiento debería recoger las actividades que hay que realizar en la auditoría, los criterios a aplicar y las responsabilidades que han de distribuirse entre los intervinientes en la auditoría interna.

Con este procedimiento se ha de revisar el cumplimiento de los requisitos de todo el sistema de gestión de la seguridad de la información respecto a la norma de referencia: la ISO-27001.

El procedimiento puede contener los siguientes apartados o contenidos:

  • la definición del objetivo al que se orienta el procedimiento
  • la delimitación del alcance dentro del que tiene aplicación
  • las responsabilidades estableciendo quién se encargará de la planificación del programa de auditoría interna de seguridad de la información.
  • el desarrollo  del procedimiento que comentaremos más adelante.
  • las referencias a normas, documentos de interés del sistema de gestión o externa
  • registros y anexos necesarios para la aplicación del procedimiento de auditoría interna.

 

En cuanto al apartado de desarrollo, esta parte del procedimiento identifica los aspectos específicos de la puesta en marcha de las auditorías internas. Es el caso de la indicación de las características de las personas que van a actuar como auditores internos.

Se deberán especificar las cualidades requeridas a la hora de seleccionar al auditor interno incluyendo la referencia a la necesidad de independencia respecto al área auditada.

Por otra parte, también se desarrollarán los elementos que marcarán la planificación de las auditorías internas: cuándo hacerlas, qué parte auditar, quién auditará, etc.

Otro elemento fundamental es la definición de los pasos a seguir a la hora de preparar la auditoría como los documentos que serán aplicables o las herramientas o metodologías que se emplearán en su desarrollo.

Una de las herramientas típicas en la realización de las auditorías internas y externas es la lista de comprobación en la que se va verificando el cumplimiento de cada uno de los requisitos aplicables recogiendo la evidencia correspondiente.

Por último, el procedimiento de auditoría interna debería contar con la descripción de las diferentes etapas que van a ir sucediéndose o desarrollándose de forma paralela:

  • entrevista inicial
  • aplicación de la lista de comprobación
  • recopilación de evidencias
  • investigación de las no conformidades detectadas
  • redacción del informe de auditoría interna
  • generación de las acciones correctivas
  • archivo de la documentación generada

 

Cumpliendo con todos los requisitos indicados, el procedimiento de auditoría interna del Sistema de Gestión de la seguridad de la Información conforme a la ISO27001 contendrá todos los elementos necesarios para facilitar su puesta en marcha e implementación.

19 Marzo, 2014

ESCUELA EUROPEA DE EXCELENCIA ©2017 Todos los derechos reservados.

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies.

ACEPTAR
Aviso de cookies

Entrar

Create an Account Back to login/register
X