Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditora y certificacin,

que se desarrolla de la siguiente forma: Solicitud de la auditora por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditora y certificacin, que se desarrolla de la siguiente forma: Solicitud de la auditora por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses.

 Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.

 Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como la descrita.

Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, tambin est publicado el alcance de certificacin. Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de certificarlo. Sin embargo, s es recomendable ponerse como objetivo la certificacin, porque supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin, aade un factor de tensin y de concentracin en una meta a todos los miembros del proyecto y de la organizacin en general y enva una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparente mente.