Está en la página 1de 61

NCh-ISO 27006

I

Contenido


Pgina

Prembulo IV


0 Introduccin 1


1 Alcance y campo de aplicacin 2


2 Referencias normativas 2


3 Trminos y definiciones 3


4 Principios 3


5 Requisitos generales 3

5.1 Asuntos legales y contractuales 3

5.2 Gestin de la imparcialidad 3

5.3 Responsabilidad legal y financiamiento 4


6 Requisitos relativos a la estructura 5

6.1 Estructura de la organizacin y alta direccin 5

6.2 Comit para la preservacin de la imparcialidad 5


7 Requisitos relativos a los recursos 5

7.1 Competencia de la direccin y el personal 5

7.2 Personal que interviene en las actividades de certificacin 6

7.3 Empleo de auditores externos y expertos tcnicos externos individuales 9

7.4 Registros relativos al personal 9

7.5 Contratacin externa (outsourcing) 9
NCh-ISO 27006

II

Contenido


Pgina

8 Requisitos relativos a la informacin 9

8.1 Informacin accesible al pblico 9

8.2 Documentos de certificacin 10

8.3 Directorio de clientes certificados 10

8.4 Referencia a la certificacin y utilizacin de marcas 10

8.5 Confidencialidad 11

8.6 Intercambio de informacin entre un organismo de certificacin y sus
clientes

11


9 Requisitos relativos a los procesos 11

9.1 Requisitos generales 11

9.2 Auditora inicial y certificacin 16

9.3 Actividades de vigilancia 22

9.4 Renovacin de la certificacin 24

9.5 Auditoras especiales 24

9.6 Suspender, retirar o reducir el alcance de la certificacin 24

9.7 Apelaciones 24

9.8 Reclamos 25

9.9 Registros relativos a solicitantes y clientes 25


10 Requisitos relativos al sistema de gestin de los organismos de
certificacin

26

10.1 Opciones 26

10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001 26

10.3 Opcin 2 - Requisitos generales del sistema de gestin 26
NCh-ISO 27006

III

Contenido


Pgina

Anexos

Anexo A (informativo) Anlisis de la complejidad y aspectos especficos del
sector al que pertenece una organizacin

27

A.1 Potencial de riesgo de la organizacin 27

A.2 Categoras de un sector especfico del riesgo de seguridad de la
informacin

30


Anexo B (informativo) Ejemplos de reas de competencia del auditor 31

B.1 Consideraciones de competencia general 31

B.2 Consideraciones de competencia especfica 31


Anexo C (informativo) Plazo de la auditora 33

C.1 Introduccin 33

C.2 Procedimiento para determinar el plazo de la auditora 33

C.3 Cuadro de plazos del auditor 35


Anexo D (informativo) Directriz para la revisin de los controles implementados
de ISO/IEC 27001:2005, Anexo A

40

D.1 Propsito 40

D.2 Forma de utilizar Tabla D.1 41


Tablas

Tabla A.1 Criterios para la complejidad del alcance del SGSI 28

Tabla D.1 Clasificacin de los controles 42
IV

NORMA CHILENA OFICIAL

NCh-ISO 27006.Of2010






Tecnologa de la informacin - Tcnicas de seguridad -
Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de gestin de la seguridad de la
informacin






Prembulo

El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el
estudio y preparacin de las normas tcnicas a nivel nacional. Es miembro de la
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION
PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esos
organismos.

Esta norma se estudi a travs del Comit Tcnico Conjunto de caracteres y codificacin,
para especificar los requisitos y entregar una directriz para los organismos que realizan la
auditora y certificacin de un sistema de gestin de la seguridad de la informacin (SGSI),
adems de los requisitos considerados en ISO/IEC 17021 e ISO/IEC 27001.

Esta norma es idntica a la versin en ingls de la Norma Internacional ISO/IEC 27006:2007
Information technology - Security techniques - Requirements for bodies providing audit and
certification of information security management systems.

La Nota explicativa incluida en un recuadro en clusula 2 Referencias normativas, es un
cambio editorial que se incluye con el propsito de informar la correspondencia con norma
chilena de las Normas Internacionales citadas en esta norma.

La norma NCh-ISO 27006 ha sido preparada por la Divisin de Normas del Instituto
Nacional de Normalizacin, y en su estudio el Comit estuvo constituido por las
organizaciones y personas naturales siguientes:

Asesor particular Marcelo Corts San Martn
CODELCO Jorge Gonzlez H.
NCh-ISO 27006

V

Instituto Nacional de Normalizacin, INN Manuel Jara M.
Jorge Muoz C.
ISSA Chile Chapter Gonzalo Concha L.
Lucas Adrin Gmez B.
Sonda Chile Rodrigo Baldecchi Q.
KPMG Auditores Consultores Ltda. Lucas Adrin Gmez B.
Universidad de Chile, IDIEM Oscar Clasing J.

En forma adicional a las organizaciones que participaron en Comit, el Instituto recibi
respuesta durante el perodo de consulta pblica de esta norma, de:

Asesor particular, Alan Santos C.

Los Anexos A, B, C y D no forman parte de la norma, se insertan slo a ttulo informativo.

Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en
sesin efectuada el 23 de diciembre de 2009.

Esta norma ha sido declarada Oficial de la Repblica de Chile por Resolucin
Administrativa Exenta N217, de fecha 24 de febrero de 2010, del Ministerio de
Economa, Fomento y Turismo, publicada en el Diario Oficial del 02 de marzo de 2010.




1

NORMA CHILENA OFICIAL

NCh-ISO 27006.Of2010





Tecnologa de la informacin - Tcnicas de seguridad -
Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de gestin de la seguridad de la
informacin





0 Introduccin

ISO/IEC 17021 es una Norma Internacional que fija los criterios para los organismos
encargados de la auditora y certificacin de sistemas de gestin de las organizaciones.
Si tales organismos tienen que acreditar que cumplen con ISO/IEC 17021 para auditar y
certificar los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) conforme
con ISO/IEC 27001:2005, se necesitan algunos requisitos y directrices adicionales a
ISO/IEC 17021 que otorga esta norma.

El texto de esta norma mantiene la estructura de ISO/IEC 17021. Los requisitos y las
directrices adicionales especficas del SGSI respecto de la aplicacin de ISO/IEC 17021
para certificar los SGSI se identifican con las letras "SI".

El trmino deber se utiliza en toda esta norma para indicar que esas estipulaciones, al
reflejar los requisitos de ISO/IEC 17021 e ISO/IEC 27001, son obligatorias. El trmino
debera se usa para indicar aquellas estipulaciones, que si bien constituyen una directriz para
la aplicacin de los requisitos, se espera que un organismo de certificacin las adopte.

Un objetivo de esta norma consiste en permitir que organismos de acreditacin unifiquen de
forma ms efectiva la aplicacin de las normas respecto de lo que los organismos de
certificacin deben evaluar. En este contexto, cualquier modificacin que efecte un
organismo de certificacin de las directrices constituye una excepcin. Tales variaciones slo
se permitirn luego de que el organismo de certificacin demuestre caso a caso al organismo
acreditador que la excepcin cumple de forma relativamente equivalente la clusula de
requisitos pertinentes de ISO/IEC 17021, ISO/IEC 27001 y el propsito de esta norma.

NOTA - En toda esta norma, los trminos sistema de gestin y sistema se usan de forma intercambiable. La
definicin de sistema de gestin se puede encontrar en ISO 9000:2005. El sistema de gestin como se usa en
esta norma no se debe confundir con otro tipo de sistemas, como los sistemas de tecnologas de la
informacin (TI).
NCh-ISO 27006

2

1 Alcance y campo de aplicacin

Esta norma especifica los requisitos y entrega una directriz para los organismos que
realizan la auditora y certificacin de un sistema de gestin de la seguridad de la
informacin (SGSI), adems de los requisitos considerados en ISO/IEC 17021 e
ISO/IEC 27001. Apunta en primer lugar a respaldar la acreditacin de organismos de
certificacin que entregan la certificacin del SGSI.

El cumplimiento de los requisitos contenidos en esta norma se debe demostrar en
cuanto a competencia y fiabilidad del organismo que proporciona la certificacin del
SGSI. Asimismo, la directriz contenida en esta norma entrega interpretacin extra de
estos requisitos para cualquier organismo de certificacin del SGSI.

NOTA - Esta norma se puede usar como un documento que contiene criterios de acreditacin, evaluacin de
pares u otros procesos de auditora.


2 Referencias normativas

Los documentos siguientes son indispensables para la aplicacin de esta norma. Para
referencias con fecha, slo se aplica la edicin citada. Para referencias sin fecha se
aplica la ltima edicin del documento referenciado (incluyendo cualquier enmienda).

ISO/IEC 17021:2006 Evaluacin de la conformidad - Requisitos para los organismos
que realizan la auditora y certificacin de sistemas de gestin.
ISO/IEC 19011 Directrices para la auditora de sistemas de gestin de la calidad
y/o ambiental.
ISO/IEC 27001:2005 Tecnologa de la informacin - Tcnicas de seguridad - Sistemas
de gestin de la seguridad de la informacin - Requisitos.


NOTA EXPLICATIVA NACIONAL


La equivalencia de las Normas Internacionales sealadas anteriormente con norma chilena, y su grado de
correspondencia es el siguiente:


Norma Internacional Norma nacional Grado de correspondencia
ISO/IEC 17021:2006 NCh-ISO 17021.Of2008 Idntica
ISO/IEC 19011 NCh-ISO 19011.Of2003 Idntica
ISO/IEC 27001:2005 NCh-ISO 27001.Of2009 Idntica


NCh-ISO 27006

3

3 Trminos y definiciones

Para los propsitos de esta norma se aplican los trminos y definiciones indicados en
ISO/IEC 17021, ISO/IEC 27001 y adicionalmente los siguientes:

3.1 certificado: documento emitido por un organismo de certificacin de acuerdo con las
condiciones de su acreditacin y conlleva un smbolo o declaracin de acreditacin

3.2 organismo de certificacin: tercera parte, que evala y certifica el SGSI de una
organizacin cliente respecto de normas publicadas del SGSI y la documentacin
suplementaria requerida segn el sistema

3.3 documento de certificacin: documento que indica que el SGSI de una organizacin
cliente concuerda con las normas especficas del SGSI y cualquier documentacin
suplementaria requerida segn el sistema

3.4 marca: marca comercial registrada legalmente u otro smbolo protegido, emitido
segn las reglas de un organismo de acreditacin o de certificacin, que indica que se
ha demostrado la confianza adecuada en los sistemas operados por un organismo o que
los productos o las personas pertinentes cumplen los requisitos de una norma especfica

3.5 organizacin: compaa, corporacin, firma, empresa, autoridad o institucin, o parte
o combinacin de ellos, ya sea incorporados o no, pblicos o privados, que tiene sus
propias funciones y administracin y que puede garantizar que se promueve la seguridad
de la informacin


4 Principios

Se aplican los principios de ISO/IEC 17021:2006, clusula 4.


5 Requisitos generales

5.1 Asuntos legales y contractuales

Se aplican los requisitos de ISO/IEC 17021:2006, 5.1.

5.2 Gestin de la imparcialidad

Se aplican los requisitos de ISO/IEC 17021:2006, 5.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
NCh-ISO 27006

4

5.2.1 SI 5.2 Conflictos de intereses

Los organismos de certificacin pueden efectuar las tareas siguientes sin ser considerados
consultoras o tener un posible conflicto de intereses:

a) certificacin, incluidas reuniones informativas, reuniones de planificacin, examen de
documentos, auditora (sin ser auditoras internas del SGSI ni revisiones internas de
seguridad) y seguimientos de no conformidad;

b) organizacin y participacin como orador en cursos de capacitacin, siempre y
cuando en estos cursos relacionados con la gestin de la seguridad de la informacin
y con los sistemas de gestin o auditora, los organismos de certificacin se limiten a
la entrega de informacin y asesora general que sea de dominio pblico, esto es, no
deberan entregar asesora especfica para una compaa en particular porque
contraviene los requisitos del siguiente punto;

c) disposicin o publicacin por solicitud de informacin que describa la interpretacin
que haga el organismo de certificacin de los requisitos exigidos en las normas de
auditora de certificacin;

d) actividades previas a la auditora, que slo apuntan a determinar la disponibilidad
para efectuar una auditora de certificacin. Sin embargo, tales actividades no se
deberan traducir en la entrega de recomendaciones o asesora que contravendra con
esta clusula. El organismo de certificacin debera poder aclarar que tales
actividades no se oponen a estos requisitos y que no se utilizan para justificar una
reduccin en la eventual duracin de la auditora de certificacin;

e) realizacin de auditoras a segundas y terceras partes segn las normas o
regulaciones distintas a las que pertenecen el alcance de la acreditacin;

f) valor agregado durante las auditoras de certificacin o visitas de seguimiento, por
ejemplo, al identificar oportunidades de mejora al resultar evidente durante la
auditora, pero sin recomendar soluciones especficas.

El organismo de certificacin debe ser independiente del (de los) organismo(s) (incluida
cualquier persona) que provea la auditora interna del SGSI de la organizacin cliente
sujeta a certificacin.

5.3 Responsabilidad legal y financiamiento

Se aplican los requisitos de ISO/IEC 17021:2006, 5.3.
NCh-ISO 27006

5

6 Requisitos relativos a la estructura

6.1 Estructura de la organizacin y alta direccin

Se aplican los requisitos de ISO/IEC 17021:2006, 6.1.

6.2 Comit para la preservacin de la imparcialidad

Se aplican los requisitos de ISO/IEC 17021:2006, 6.2.


7 Requisitos relativos a los recursos

7.1 Competencia de la direccin y del personal

Se aplican los requisitos de ISO/IEC 17021:2006, 7.1. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.

7.1.1 SI 7.1 Competencia de gestin

Los elementos esenciales de la competencia requerida para efectuar la certificacin del
SGSI consisten en elegir, proporcionar y encargarse de esas personas cuyas
capacidades y competencia colectiva es adecuada a las actividades que sern auditadas
y a los temas de seguridad de la informacin.

7.1.1.1 Anlisis de competencia y revisin de contratos

El organismo de certificacin debe asegurar que tiene el conocimiento de los avances
tecnolgicos y legales pertinentes sobre el SGSI de la organizacin cliente que evala.

El organismo de certificacin debe tener un sistema efectivo para el anlisis de sus
competencias en gestin de la seguridad de la informacin el cual debe estar disponible,
con respecto a todas las reas tcnicas en que el organismo opera.

Para cada cliente, el organismo de certificacin debe poder demostrar que ha efectuado un
anlisis de competencia
1)
(evaluacin de habilidades en respuesta a las necesidades
valoradas) de los requisitos de cada sector pertinente antes de revisar el contrato. El
organismo de certificacin luego debe revisar el contrato con la organizacin cliente basado
en los resultados de este anlisis de competencia. En particular, el organismo de
certificacin debe poder demostrar que tiene la competencia para realizar las actividades
siguientes:

a) comprender las reas de actividad de la organizacin cliente y los riesgos
comerciales asociados;

b) definir las competencias requeridas en el organismo de certificacin para certificar
las vulnerabilidades e impactos sobre la organizacin cliente, respecto de las
actividades identificadas y las amenazas a la seguridad de la informacin a evaluar.

c) confirmar la existencia de las competencias requeridas.

1) Segn NCh-ISO 17021, 4.3 competencia: aptitud demostrada para aplicar los conocimientos y habilidades.
NCh-ISO 27006

6

7.1.1.2 Recursos

La direccin del organismo de certificacin debe contar con los procesos y recursos
necesarios que le permitan determinar si auditores individuales son competentes para las
tareas que requieren realizar dentro del alcance de certificacin en que estn operando. La
competencia de los auditores se puede establecer con la verificacin de los antecedentes
de la experiencia, y una capacitacin especfica o sesin informativa (ver tambin Anexo
B). El organismo de certificacin se debe poder comunicar eficazmente con todos los
clientes a los que proporciona servicios.

7.2 Personal que interviene en las actividades de certificacin

Se aplican los requisitos de ISO/IEC 17021:2006, 7.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.

7.2.1 SI 7.2 Competencia del personal del organismo de certificacin

Los organismos de certificacin deben tener personal competente para:

a) elegir y verificar la competencia de los auditores del SGSI para que se integren a
equipos apropiados para efectuar la auditora;

b) dar instrucciones previas a los auditores del SGSI y organizar cualquier capacitacin
que sea necesaria;

c) tomar decisiones sobre el otorgamiento, la mantencin, el retiro, la suspensin, la
extensin o la reduccin de las certificaciones;

d) establecer y administrar un proceso de apelaciones y reclamos.

7.2.1.1 Capacitacin de los equipos de auditora

El organismo de certificacin debe contar con los criterios para capacitar a los equipos
de auditora para garantizar:

a) conocimiento de la norma del SGSI y otros documentos normativos pertinentes;

b) comprensin de la seguridad de la informacin;

c) comprensin de la evaluacin de riesgos y la gestin de riesgos desde una
perspectiva comercial;

d) conocimiento tcnico de la actividad que ser auditada;

e) conocimiento general de requisitos regulatorios pertinentes a los SGSI;

f) conocimiento de los sistemas de gestin;
NCh-ISO 27006

7

g) comprensin de los principios de auditora basados en ISO 19011;

h) conocimiento de la revisin de la efectividad del SGSI y medicin de la efectividad
del control.

Estos requisitos de capacitacin se aplican a todos los miembros del equipo de auditora,
con la excepcin de d), que se puede compartir entre los miembros del equipo de
auditora.

7.2.1.1.1 Al elegir el equipo para una auditora de certificacin especfica, el organismo
de certificacin debe garantizar que se cuentan con las habilidades apropiadas para cada
tarea. El equipo debe:

a) tener un conocimiento tcnico apropiado de las actividades especficas dentro del
alcance del SGSI para el que se solicita la certificacin y, cuando sea pertinente,
procedimientos asociados y sus riesgos potenciales de seguridad de la informacin
(expertos tcnicos que no son auditores pueden cumplir esta funcin);

b) tener un grado suficiente de conocimiento de la organizacin cliente para efectuar
una auditora de certificacin confiable de su SGSI sobre los aspectos de seguridad
de la informacin en relacin a sus actividades, productos y servicios;

c) tener un conocimiento apropiado de los requisitos regulatorios aplicables al SGSI de
la organizacin cliente.

7.2.1.1.2 Cuando se requiera, el equipo de auditora se puede complementar con
expertos tcnicos que puedan demostrar competencia especfica en un campo de
tecnologa apropiado para la auditora. Se debe destacar que los expertos tcnicos no
pueden operar en reemplazo de auditores del SGSI, pero podran asesorar a auditores
sobre temas de adecuacin tcnica en el contexto del sistema de gestin que est
siendo auditado. El organismo de certificacin debe tener un procedimiento para:

a) seleccionar auditores y expertos tcnicos sobre la base de su competencia,
capacitacin, calificaciones y experiencia;

b) evaluar inicialmente el proceder de los auditores y expertos tcnicos durante las
auditoras de certificacin y, posteriormente monitorear su desempeo.

7.2.1.2 Gestin del proceso de toma de decisiones

La funcin de direccin debe tener la competencia y capacidad tcnica para gestionar el
proceso de toma de decisiones respecto del otorgamiento, mantencin, extensin,
reduccin, suspensin y retiro de la certificacin del SGSI segn los requisitos
de ISO/IEC 27001.
NCh-ISO 27006

8

7.2.1.3 Niveles de prerrequisitos de educacin, experiencia laboral, capacitacin en
auditora y experiencia de auditores para realizar auditoras del SGSI

7.2.1.3.1 Los criterios siguientes se deben aplicar a cada auditor en el equipo de
auditora del SGSI. El auditor debe:

a) tener educacin secundaria;

b) tener al menos cuatro aos de experiencia prctica a tiempo completo en tecnologa
de la informacin, de los cuales al menos dos aos haber desempeado un papel o
funcin relacionada con seguridad de la informacin;

c) haber completado cinco das de capacitacin adecuada que cubran auditora del SGSI
y gestin de auditora;

d) tener experiencia en todo el proceso de evaluacin de la seguridad de la informacin
antes de asumir responsabilidad para actuar como auditor. Esta experiencia se
debera obtener al participar en un mnimo de cuatro auditoras de certificacin por
un total de al menos 20 das y que abarque la revisin de documentacin y anlisis
de riesgos, evaluacin de implementacin e informe de auditora;

e) contar con experiencia que sea razonablemente actual;

f) ser capaz de poner operaciones complejas en una perspectiva general y comprender
la funcin de unidades individuales en organizaciones clientes ms grandes;

g) mantener actualizados el conocimiento y habilidades en seguridad de la informacin
y auditora mediante el desarrollo profesional continuo.

Los expertos tcnicos debe cumplir con los criterios a), b), e) y f).

7.2.1.3.2 Adems de los requisitos en 7.2.1.3.1, los lderes de los equipos de auditora
deben cumplir los requisitos siguientes, que deben demostrar en auditoras guiadas y
bajo supervisin:

a) tener conocimiento y atributos para gestionar el proceso de auditora de
certificacin;

b) haber sido auditor en al menos tres auditoras del SGSI completas;

c) haber demostrado la capacidad para comunicarse con eficacia, tanto oralmente como
por escrito.
NCh-ISO 27006

9

7.3 Empleo de auditores externos y expertos tcnicos externos individuales

Se aplican los requisitos de ISO/IEC 17021:2006, 7.3. Adems se aplican las siguientes
directrices y requisitos especficos del SGSI.

7.3.1 SI 7.3 Empleo de auditores externos o expertos tcnicos externos como parte del
equipo de auditora

Al utilizar auditores individuales externos o expertos tcnicos externos como parte del
equipo de auditora, el organismo de certificacin debe garantizar que son competentes
y que cumplen con las estipulaciones aplicables de esta norma y que no estn
involucrados -ya sea directamente o a travs de su empleador- con el diseo,
implementacin o mantenimiento de un SGSI o sistema(s) de gestin relacionado, de tal
forma que se pueda comprometer la imparcialidad.

7.3.1.1 Empleo de expertos tcnicos

Pueden ser parte del equipo de auditora expertos tcnicos con conocimiento especfico
sobre el proceso, temas de seguridad de la informacin y la legislacin que afecta la
organizacin cliente, pero que no satisfacen todos los criterios de 7.2. Los expertos
tcnicos deben operar bajo la supervisin de un auditor.

7.4 Registros relativos al personal

Se aplican los requisitos de ISO/IEC 17021:2006, 7.4.

7.5 Contratacin externa (outsourcing)

Se aplican los requisitos de ISO/IEC 17021:2006, 7.5.


8 Requisitos relativos a la informacin

8.1 Informacin accesible al pblico

Se aplican los requisitos de ISO/IEC 17021:2006, 8.1. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

8.1.1 SI 8.1 Procedimientos para otorgar, mantener, extender, reducir, suspender y
retirar una certificacin

El organismo de certificacin debe requerir que la organizacin cliente cuente con un
SGSI documentado e implementado que cumpla con ISO/IEC 27001 y otros documentos
requeridos para la certificacin.
NCh-ISO 27006

10

El organismo de certificacin debe tener procedimientos documentados para:

a) la auditora inicial de certificacin del SGSI de la organizacin cliente, conforme con
lo establecido en ISO 19011 e ISO/IEC 17021 y otros documentos pertinentes;

b) las auditoras de seguimiento y de renovacin de la certificacin del ISMS de la
organizacin cliente segn ISO 19011 e ISO/IEC 17021 de forma peridica para
lograr una conformidad continua con los requisitos pertinentes y para verificar y
registrar que una organizacin cliente toma acciones correctivas de forma oportuna
para corregir todas las no conformidades.

8.2 Documentos de certificacin

Se aplican los requisitos de ISO/IEC 17021:2006, 8.2. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

8.2.1 SI 8.2 Documentos de certificacin del SGSI

El organismo de certificacin debe proporcionar a cada organizacin cliente, cuyo SGSI
sea certificado, documentos de certificacin tales como una carta o certificado firmado
por un funcionario al que se le ha asignado esa responsabilidad. Para la organizacin
cliente y cada uno de sus sistemas de informacin cubiertos por la certificacin, estos
documentos deben identificar el alcance de la certificacin otorgada e ISO/IEC 27001
del SGSI, mediante la cual el SGSI es certificado. Adems, el certificador debera incluir
una referencia a la versin especfica de la Declaracin de Aplicabilidad.

8.3 Directorio de clientes certificados

Se aplican los requisitos de ISO/IEC 17021:2006, 8.3.

8.4 Referencia a la certificacin y utilizacin de marcas

Se aplican los requisitos de ISO/IEC 17021:2006, 8.4. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

8.4.1 SI 8.4 Control de marcas de certificacin

El organismo de certificacin debe ejercer un control apropiado sobre la propiedad, uso y
presentacin de sus marcas de certificacin del SGSI. Si el organismo de certificacin
confiere el derecho para utilizar una marca con el fin de indicar la certificacin de un
SGSI, el organismo de certificacin debera garantizar que la organizacin cliente utiliza
la marca especfica slo como est autorizada por escrito por el organismo de
certificacin. El organismo de certificacin no debe facultar a la organizacin cliente a
utilizar esta marca en un producto o de una forma que se pueda interpretar como
conformidad respecto del producto.
NCh-ISO 27006

11

8.5 Confidencialidad

Se aplican los requisitos de ISO/IEC 17021:2006, 8.5. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

8.5.1 SI 8.5 Acceso a registros organizacionales

Antes de la auditora de certificacin, el organismo de certificacin debe preguntar a la
organizacin cliente si existe algn registro del SGSI que el equipo de auditora no pueda
conocer para su revisin, debido a que contiene informacin confidencial o sensible. El
organismo de certificacin debe determinar si el SGSI se puede auditar de forma
adecuada sin esos registros. Si el organismo de certificacin concluye que no es posible
realizar la auditora al SGSI de forma adecuada, sin revisar los registros identificados
como confidenciales o sensibles, debe informar a la organizacin cliente que la auditora
de certificacin no se puede realizar hasta que se logre un acuerdo apropiado sobre su
acceso.

8.6 Intercambio de informacin entre un organismo de certificacin y sus clientes

Se aplican los requisitos de ISO/IEC 17021:2006, 8.6.


9 Requisitos relativos a los procesos

9.1 Requisitos generales

Se aplican los requisitos de ISO/IEC 17021:2006, 9.1. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.

9.1.1 SI 9.1.1 Requisitos generales de auditora del SGSI

9.1.1.1 Criterios de auditora de certificacin

Los criterios contra los que se audita el SGSI de un cliente, deben ser aquellos que se
describen en ISO/IEC 27001 del SGSI y otros documentos requeridos para la
certificacin pertinente a la funcin realizada. Si se requiere una explicacin en cuanto a
la aplicacin de estos documentos a un programa de certificacin especfico, entonces
esa explicacin debe ser dada por un comit pertinente e imparcial, o personas que
posean la competencia tcnica necesaria, adems de ser publicada por el organismo de
certificacin.

9.1.1.2 Polticas y procedimientos

La documentacin del organismo de certificacin debe incluir la poltica y los
procedimientos para implementar el proceso de certificacin, incluidas verificaciones
sobre el uso y la aplicacin de documentos usados en la certificacin del SGSI y los
procedimientos para auditar y certificar el SGSI de la organizacin cliente.
NCh-ISO 27006

12

9.1.1.3 Equipo de auditora

El equipo de auditora debe ser designado formalmente y provisto de los documentos de
trabajo adecuados. El plan y la fecha de la auditora se deben acordar con la
organizacin cliente. El mandato otorgado al equipo de auditora se debe definir
claramente y darlo a conocer a la organizacin cliente. Tambin se debe requerir que el
equipo de auditora examine la estructura, las polticas y los procedimientos de la
organizacin cliente, y confirmar que se cumplan todos los requisitos pertinentes para el
alcance de la certificacin y que se implementen los procedimientos y sean tales que
entreguen confianza en el SGSI de la organizacin cliente.

9.1.2 SI 9.1.2 Alcance de la certificacin

El equipo de auditora debe auditar el SGSI de la organizacin cliente cubierto por el
alcance definido, contra todos los requisitos de certificacin aplicables. El organismo de
certificacin debe garantizar que el alcance y lmites del SGSI de la organizacin cliente
estn claramente definidos en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa. El organismo de certificacin debe
confirmar que las organizaciones clientes, en el alcance de su SGSI, cumplen con los
requisitos establecidos en ISO/IEC 27001:2005, 1.2.

Los organismos de certificacin deben garantizar que la evaluacin del riesgo de la seguridad
de la informacin de una organizacin cliente y que el tratamiento del riesgo, reflejan sus
actividades y se extienden a los lmites de sus actividades segn se define en ISO/IEC 27001
del SGSI. Los organismos de certificacin deben confirmar que esto se refleja en el alcance
del SGSI y la Declaracin de Aplicabilidad de la organizacin cliente.

Los organismos de certificacin deben garantizar que las interfaces con servicios o
actividades que no se encuentran completamente dentro del alcance del SGSI sean
abordadas dentro del SGSI sujeto a certificacin y que sean incluidos en la evaluacin
de riesgos de seguridad de la informacin perteneciente a la organizacin cliente. Un
ejemplo de tal situacin es el compartir instalaciones (por ejemplo, sistemas de TI, bases
de datos y sistemas de telecomunicaciones) con otras organizaciones.

9.1.3 SI 9.1.3 Plazo de auditora

Los organismos de certificacin deben permitir que los auditores tengan el tiempo
suficiente para efectuar las actividades relacionadas con la auditora inicial, la auditora
de seguimiento y la auditora de renovacin de la certificacin
2)
. El tiempo asignado se
debera basar en factores como:

a) el tamao del alcance del SGSI (por ejemplo, cantidad de sistemas de la informacin
utilizados, cantidad de empleados);

b) complejidad del SGSI (por ejemplo, criticidad de los sistemas de informacin,
situacin de riesgo del SGSI), ver tambin Anexo A;

c) el (los) tipo(s) de negocio(s) realizado(s) dentro del alcance del SGSI;

2) En ingls: recertification audit.
NCh-ISO 27006

13

d) extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos
componentes del SGSI (como los controles implementados, la documentacin y/o el
control de procesos, acciones correctivas/preventivas, etc.);

e) cantidad de sitios
3)
;

f) desempeo demostrado anteriormente del SGSI;

g) extensin de la contratacin externa (outsourcing) y organizacin de terceros
considerados en el alcance del SGSI;

h) normas y regulaciones que se aplican a la certificacin.

El Anexo C otorga una directriz sobre el plazo de auditora. El organismo de certificacin
debe estar preparado para respaldar o justificar el plazo usado en cualquier auditora
inicial, auditoras de seguimiento y auditora de renovacin de la certificacin.

9.1.4 SI 9.1.4 Sitios mltiples

9.1.4.1 Las decisiones sobre muestras de diversos sitios respecto de la certificacin del
SGSI son ms complejas que las mismas decisiones para los sistemas de gestin de la
calidad. Donde una organizacin cliente tiene una serie de sitios que cumplen los
criterios descritos de a) a c), los organismos de certificacin pueden considerar el uso de
un enfoque en base a una muestra para una auditora de certificacin de multisitios:

a) todos los sitios estn operando bajo el mismo SGSI, que se administra y audita
centralmente y est sujeto a la revisin central por la direccin;

b) todos los sitios se incluyen en el programa de auditora interna del SGSI
perteneciente a la organizacin cliente;

c) todos los sitios se incluyen en el programa de revisin por la direccin del SGSI
perteneciente a la organizacin cliente.

9.1.4.2 El organismo de certificacin que desea utilizar un enfoque en base a una
muestra debe contar con procedimientos vigentes para garantizar lo siguiente:

a) La revisin inicial del contrato identifica, con la mayor amplitud posible, la diferencia
entre los sitios de modo tal que se determine un nivel adecuado de muestras.

b) El organismo de certificacin toma una muestra de una cantidad representativa de
sitios y considera:

1) los resultados de auditoras internas de la oficina principal y los sitios,

2) los resultados de la revisin por la direccin,

3) variaciones del tamao de los sitios,

3) Sitio: Lugar fsico cubierto por el alcance.
NCh-ISO 27006

14

4) variaciones del propsito comercial de los sitios,

5) complejidad del SGSI,

6) complejidad de los sistemas de informacin en los distintos sitios,

7) variaciones en las prcticas de trabajo,

8) variaciones en las actividades que se emprenden,

9) posible interaccin con sistemas de informacin crticos o sistemas de
informacin que procesan informacin sensible,

10) cualquier requisito legal discrepante.

c) Se selecciona una muestra representativa de todos los sitios dentro del alcance del
SGSI de la organizacin cliente. Esta seleccin se debera basar en una eleccin
evaluativa para reflejar los factores presentados en b) as como el hecho de ser un
elemento aleatorio.

d) Cada sitio incluido en el SGSI, que est sujeto a riesgos significativos, es auditado
por el organismo de certificacin antes de la certificacin.

e) El programa de seguimiento se ha diseado a la luz de los requisitos descritos
anteriormente y cubre todos los sitios de la organizacin cliente o dentro del alcance
de la certificacin del SGSI en un perodo razonable.

f) En el caso de que exista no conformidad, en la oficina principal o en un solo sitio, se
aplica el procedimiento de accin correctiva a la oficina principal y a todos los sitios
que cubre el certificado.

La auditora descrita en SI 9.1.5 debe abordar las actividades de la oficina principal de la
organizacin cliente para garantizar que se aplica un solo SGSI a todos los sitios y que
brinda gestin central a nivel operacional. La auditora debe abordar todos los temas
descritos anteriormente.

9.1.5 SI 9.1.5 Metodologa de la auditora

El organismo de certificacin debe contar con los procedimientos considerados para que
la organizacin cliente pueda demostrar la programacin de las auditoras internas del
SGSI, y que el programa y los procedimientos estn operando y que pueden comprobar
su operacin.

Los procedimientos del organismo de certificacin no deberan presuponer una forma
particular de implementacin de un SGSI o un formato particular para la documentacin
y los registros. Los procedimientos de certificacin se deben concentrar en establecer
que el SGSI de una organizacin cliente cumple con los requisitos de ISO/IEC 27001 y
las polticas y objetivos de la organizacin cliente.
NCh-ISO 27006

15

El plan de auditora debera identificar las tcnicas de auditora asistidas en red que se
utilizarn durante la auditora, segn sea pertinente.

NOTA - Las tcnicas de auditora asistidas en red pueden incluir, por ejemplo, teleconferencias, reuniones
por Internet, comunicaciones interactivas por Internet y acceso electrnico remoto a la documentacin del
SGSI y/o a los procesos del SGSI. El alcance de tales tcnicas se debera ampliar a la efectividad y eficiencia
de la auditora y debera ser un respaldo a la integridad del proceso de auditora.

9.1.6 SI 9.1.6 Informe de auditora de certificacin

9.1.6.1 El organismo de certificacin puede adoptar procedimientos para los informes
segn sus necesidades, pero como mnimo estos procedimientos deben garantizar que:

a) se efecte una reunin entre el equipo de auditora y la direccin de la organizacin
cliente antes de dejar las instalaciones de la organizacin cliente donde el equipo de
auditora da:

1) una indicacin escrita u oral sobre la conformidad del SGSI de la organizacin
cliente con los requisitos particulares de certificacin,

2) una oportunidad para que la organizacin cliente haga preguntas sobre los
hallazgos y sus fundamentos;

b) el equipo de auditora proporciona al organismo de certificacin un informe de
auditora de sus hallazgos con respecto a la conformidad del SGSI de la organizacin
cliente con todos los requisitos de certificacin.

9.1.6.2 El informe de auditora debera entregar la informacin siguiente:

a) una cuenta de la auditora que incluya un resumen de la revisin del documento;

b) una cuenta de la auditora de certificacin del anlisis de riesgos sobre la seguridad
de la informacin perteneciente a la organizacin cliente;

c) plazo total de auditora utilizado y especificacin detallada del tiempo destinado a la
revisin del documento, evaluacin del anlisis de riesgos, auditora in situ e informe
de auditora;

d) consultas hechas sobre la auditora, fundamento para su seleccin y metodologa
empleada.

9.1.6.3 El informe de auditora de los hallazgos otorgado por el organismo de
certificacin debe ser suficientemente detallado para facilitar y respaldar una decisin de
certificacin y debe contener:

a) reas cubiertas por la auditora (por ejemplo, los requisitos de certificacin y los
sitios que se auditaron), incluidos antecedentes importantes de la auditora y sus
metodologas utilizadas (ver SI 9.1.5);
NCh-ISO 27006

16

b) observaciones realizadas, tanto positivas (por ejemplo, caractersticas dignas de
destacar) como negativas (por ejemplo, posibles no conformidades);

c) detalles de no conformidades identificadas, respaldadas por evidencia objetiva y una
referencia de ellas respecto de los requisitos de ISO/IEC 27001 del SGSI u otros
documentos requeridos para la certificacin;

d) comentarios sobre la conformidad del SGSI de la organizacin cliente con los
requisitos de certificacin y una clara declaracin de no conformidad, una referencia
a la versin de la Declaracin de Aplicabilidad y, donde sea aplicable, una
comparacin til con los resultados de anteriores auditoras de certificacin de la
organizacin cliente.

Cuestionarios completos, as como lista de verificacin, observaciones, registros o notas
del auditor podran formar parte integral del informe de auditora. Si se utilizan estos
mtodos, se deben presentar estos documentos al organismo de certificacin como
evidencia para respaldar la decisin de certificacin. Se debera incluir informacin sobre
las muestras evaluadas durante la auditora en el informe de auditora o en otra
documentacin de certificacin.

El informe debe considerar la adecuacin de la organizacin interna y los procedimientos
adoptados por la organizacin cliente para entregar confianza en el SGSI.

Adems de los requisitos para informar establecidos en ISO/IEC 17021:2006, 9.1.10 el
informe debera cubrir:

- el grado de confianza que se puede tener en las auditoras internas del SGSI y las
revisiones por la direccin;

- un resumen de las observaciones ms importantes, tanto positivas como negativas,
sobre la implementacin y efectividad del SGSI;

- la recomendacin del equipo de auditora sobre la necesidad de certificar o no el
SGSI de la organizacin cliente con informacin que sustente esta recomendacin.

9.2 Auditora inicial y certificacin

Se aplican los requisitos de ISO/IEC 17021:2006, 9.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.

9.2.1 SI 9.2.1 Competencia del equipo de auditora

Los requisitos siguientes se aplican a la evaluacin de certificacin, adems de los
requisitos que se enumeran en 7.2. Para actividades de vigilancia se aplican slo
aquellos requisitos que son pertinentes para el seguimiento programado.
NCh-ISO 27006

17

Los requisitos siguientes se aplican a todo el equipo de auditora.

a) Al menos un integrante del equipo de auditora debe satisfacer los criterios del
organismo de certificacin para asumir la responsabilidad dentro del equipo en cada
una de las reas siguientes:

1) direccin del equipo,

2) sistemas de gestin y proceso aplicable al SGSI,

3) conocimiento de los requisitos legislativos y regulatorios en el campo particular
de seguridad de la informacin,

4) identificacin de la seguridad de la informacin relacionada con amenazas y
tendencias de incidentes,

5) identificacin de las vulnerabilidades de la organizacin cliente y comprensin de
la probabilidad de su explotacin, su impacto, y mitigacin y control,

6) conocimiento de los controles del SGSI y su implementacin,

7) conocimiento de la revisin de la efectividad del SGSI y medicin de los
controles,

8) normas del SGSI relacionadas y/o pertinentes, mejores prcticas de la industria,
polticas y procedimientos de seguridad,

9) conocimiento de mtodos de manejo de incidentes y continuidad del negocio,

10) conocimiento sobre activos tangibles e intangibles de informacin y anlisis de
impacto,

11) conocimiento de la actual tecnologa donde la seguridad podra ser pertinente o
un tema a tratar,

12) conocimiento de los procesos y mtodos de gestin de riesgos;

b) El equipo de auditora debe ser competente para rastrear indicios de incidentes de
seguridad en el SGSI de la organizacin cliente respecto de los elementes apropiados
del SGSI.

c) El equipo de auditora debe tener la experiencia laboral apropiada y aplicacin
prctica de los temes mencionados anteriormente (esto no significa que un auditor
requiere un amplio rango de experiencia en todas las reas de seguridad de la
informacin, pero todo el equipo de auditora debera tener el suficiente conocimiento
y experiencia para cubrir el alcance del SGSI que se audita).

Un equipo de auditora puede consistir de una persona siempre que cumpla todos los
criterios fijados en a).
NCh-ISO 27006

18

9.2.1.1 SI 9.2.1.1 Demostracin de competencia del auditor

Los auditores deben tener la capacidad para demostrar su conocimiento y experiencia,
como se describe anteriormente, por ejemplo a travs de:

a) calificaciones especficas reconocidas sobre el SGSI;

b) registro como auditor;

c) cursos de capacitacin aprobados sobre el SGSI;

d) antecedentes actualizados del desarrollo profesional constante;

e) demostracin prctica a travs de auditores presenciales que efectan el proceso de
auditora del SGSI con sistemas de clientes reales.

9.2.2 SI 9.2.2 Preparaciones generales para la auditora inicial

El organismo de certificacin debe requerir que la organizacin cliente haga todos los
arreglos necesarios para efectuar la auditora de certificacin, lo que incluye la entrega
de documentacin que se pueda examinar y el acceso a todas las reas, registros
(incluidos informes de auditora interna e informes de revisiones independientes de la
seguridad de la informacin) y el personal para la auditora de certificacin, auditora de
renovacin de la certificacin y resolucin de reclamos.

El cliente debe al menos entregar la informacin siguiente antes de la auditora de
certificacin in situ:

a) informacin general sobre el SGSI y las actividades que cubre;

b) copia de la documentacin del SGSI requerida en ISO/IEC 27001:2005, 4.3.1 y,
donde sea necesario, documentacin asociada.

9.2.3 SI 9.2.3 Auditora inicial de certificacin

9.2.3.1 SI 9.2.3 Etapa 1 de la auditora

En esta etapa de auditora, el organismo de certificacin debe obtener la documentacin
sobre el diseo del SGSI que cubra la documentacin requerida en ISO/IEC 27001,
4.3.1.

El objetivo de la etapa 1 de la auditora consiste en proporcionar un enfoque para la
planificacin de la etapa 2 de la auditora al comprender el SGSI en el contexto de la
poltica y objetivos del SGSI de la organizacin cliente y, en particular, de su estado de
preparacin para la auditora.
NCh-ISO 27006

19

La etapa 1 de la auditora incluye, pero no se debera restringir, la revisin de la
documentacin. El organismo de certificacin debe acordar con la organizacin cliente cundo
y dnde se realizar la revisin de la documentacin. En todos los casos, la revisin de la
documentacin se debe completar antes de comenzar la etapa 2 de la auditora.

Los resultados de la etapa 1 de la auditora se deben documentar en un informe por
escrito. El organismo de certificacin debe revisar el informe de la etapa 1 de la auditora
antes de decidir seguir con la etapa 2 y para elegir a los integrantes del equipo de la
etapa 2 de la auditora que tengan la competencia necesaria.

El organismo de certificacin debe dar a conocer a la organizacin que se podra
necesitar ms informacin y antecedentes para efectuar un examen detallado durante la
etapa 2 de la auditora.

9.2.3.2 SI 9.2.3.2 Etapa 2 de la auditora

9.2.3.2.1 La etapa 2 de la auditora siempre se realiza in situ en la organizacin cliente.
Sobre la base de los hallazgos detallados en el informe de la etapa 1 de la auditora, el
organismo de certificacin elabora un plan de auditora para efectuar la etapa 2. Los
objetivos de la etapa 2 de la auditora son:

a) confirmar que la organizacin cliente cumple sus propias polticas, objetivos y
procedimientos;

b) confirmar que el ISMS cumple todos los requisitos de ISO/IEC 27001 del SGSI y que
logra los objetivos de la poltica que ha emprendido la organizacin cliente.

9.2.3.2.2 Para ello, la auditora se debe concentrar en ciertas caractersticas de la
organizacin cliente como:

a) evaluacin de riesgos relacionados con la seguridad de la informacin y que las
evaluaciones produzcan resultados comparables y reproducibles;

b) requisitos de documentacin detallados en ISO/IEC 27001:2005, 4.3.1;

c) seleccin de los objetivos de control y controles basados en la evaluacin de riesgos
y los procesos de tratamiento de riesgos;

d) revisin de la efectividad del SGSI y las mediciones de la efectividad de los controles
de la seguridad de la informacin para informar y revisarlos respecto de los objetivos
del SGSI;

e) auditoras internas del SGSI y revisiones por la direccin;

f) responsabilidad de la direccin en la poltica de seguridad de la informacin;

g) correspondencia entre los controles elegidos e implementados, la Declaracin de
Aplicabilidad y los resultados de la evaluacin de riesgos y el proceso de tratamiento
de riesgos, as como la poltica y objetivos del SGSI;
NCh-ISO 27006

20

h) implementacin de controles (ver Anexo D), tomando en consideracin las
mediciones de efectividad que tiene la organizacin respecto de los controles
[ver d)], para determinar si se implementan los controles y cules pueden lograr los
objetivos estipulados;

i) programas, procesos, procedimientos, registros, auditoras internas y revisiones de la
efectividad del SGSI para garantizar que sean trazables para las decisiones de la
direccin y la poltica y objetivos del SGSI.

9.2.3.3 SI 9.2.3.3 Elementos especficos para la auditora del SGSI

El papel del organismo de certificacin consiste en establecer que las organizaciones
cliente sean consistentes en establecer y mantener los procedimientos para la
identificacin, examen y evaluacin de las amenazas, relacionadas a la seguridad de la
informacin frente a los activos, vulnerabilidades e impactos sobre la organizacin
cliente. Los organismos de certificacin deben:

- requerir que la organizacin cliente demuestre que el anlisis de las amenazas
relacionadas con la seguridad sea pertinente y adecuado para la operacin de dicha
organizacin;

NOTA - La organizacin cliente es responsable de definir los criterios mediante los cuales los riesgos de
seguridad de la informacin de la organizacin cliente se consideran importantes, como para desarrollar
procedimiento(s) para su ejecucin.

- establecer si los procedimientos de la organizacin cliente para la identificacin,
examen y evaluacin de las amenazas, relacionadas con la seguridad de la
informacin en relacin a activos, vulnerabilidades e impactos, y los resultados de su
aplicacin son consistentes con la poltica, objetivos y metas de la organizacin
cliente.

El organismo de certificacin tambin debe establecer si los procedimientos empleados
en el anlisis de significacin son importantes y se han implementado de forma
apropiada. Si se identifica como significativa una amenaza relacionada con la seguridad
de la informacin respecto de los activos, una vulnerabilidad o un efecto sobre la
organizacin cliente, se debe gestionar dentro del SGSI.

9.2.3.3.1 Cumplimiento regulatorio y legal

El mantenimiento y la evaluacin del cumplimiento legal y regulatorio es responsabilidad
de la organizacin cliente. El organismo de certificacin se debe restringir a verificar y
tomar muestras para establecer la confianza de que el SGSI funciona. Asimismo, debe
verificar que la organizacin cliente tenga un sistema de gestin para lograr el
cumplimiento legal y regulatorio aplicable para los riesgos de seguridad de la informacin
y sus impactos.
NCh-ISO 27006

21

9.2.3.3.2 Integracin de la documentacin del SGSI con aquella de otros sistemas de
gestin

La organizacin cliente puede integrar la documentacin del SGSI con otros sistemas de
gestin (tales como de calidad, ambiental y salud y seguridad) siempre que el SGSI se
pueda identificar claramente junto con las interfaces adecuadas para otros sistemas.

9.2.3.3.3 Combinacin de auditora de sistemas de gestin

Un organismo de certificacin puede ofrecer otra certificacin de sistema de gestin
vinculada a la del SGSI o slo la certificacin del SGSI.

La auditora del SGSI se puede combinar con auditoras de otros sistemas de gestin.
Esta combinacin es posible si se puede demostrar que la auditora satisface todos los
requisitos para la certificacin del SGSI. Todos los elementos importantes para un SGSI
deben aparecer con claridad e identificarse con facilidad en los informes de auditora. La
calidad de la auditora no se debe ver perjudicada por la combinacin de auditoras.

NOTA - ISO 19011 proporciona directrices para efectuar auditoras combinadas de sistemas de gestin.

9.2.4 SI 9.2.4 Informacin para el otorgamiento de la certificacin inicial

Para proporcionar una base que permita tomar una decisin sobre la certificacin, el
organismo de certificacin debe requerir informes claros que entreguen informacin
suficiente para tomar dicha decisin.

El organismo de certificacin requiere informes del equipo de auditora en varias etapas
durante el proceso de auditora de la certificacin que entrega. Junto con informacin
contenida en archivos, estos informes deberan al menos contener la informacin
requerida en SI 9.1.6.

9.2.5 SI 9.2.5 Decisin de certificacin

La entidad -que podra ser una persona y que toma la decisin sobre otorgar/retirar una
certificacin dentro del organismo de certificacin- debera reunir un nivel de
conocimiento y experiencia en todas las reas y que sea suficiente para evaluar los
procesos de auditora y las recomendaciones asociadas elaboradas por el equipo de
auditora.

La decisin de certificar el SGSI de una organizacin cliente la debe tomar el organismo
de certificacin sobre la base de la informacin reunida durante el proceso de
certificacin y cualquier otra informacin pertinente. Quienes toman la decisin sobre la
certificacin no deben haber participado en la auditora. Esta decisin se debe basar en
hallazgos y la recomendacin de la certificacin del equipo de auditora como se indica
en el informe de auditora de certificacin (ver SI 9.1.6) y alguna otra informacin
pertinente que est disponible para el organismo de certificacin.
NCh-ISO 27006

22

La entidad que toma la decisin de otorgar la certificacin no debera, por lo general,
revocar una recomendacin negativa del equipo de auditora. Si ocurre esta situacin, el
organismo de certificacin debe documentar y justificar el fundamento de la decisin
para revocar la recomendacin.

Con respecto a la decisin sobre la certificacin, ISO/IEC 17021 no menciona un
perodo especfico en que al menos se deba realizar una auditora interna completa del
SGSI y una revisin por la direccin del SGSI de la organizacin cliente. El organismo de
certificacin puede especificar un perodo determinado. Independiente de si el organismo
de certificacin ha elegido especificar una frecuencia mnima, se deben establecer
acciones para garantizar la efectividad de la revisin por la direccin de la organizacin
cliente y sus procesos internos de auditora del SGSI.

No se debe otorgar la certificacin a la organizacin cliente hasta que exista evidencia
suficiente que demuestre que se han implementado arreglos para las revisiones por la
direccin y auditoras internas del SGSI, que son efectivas y que se mantendrn.

9.3 Actividades de vigilancia

Se aplican los requisitos de ISO/IEC 17021:2006, 9.3. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.

9.3.1 SI 9.3 Auditoras de seguimiento

9.3.1.1 Los procedimientos de auditora de seguimiento deben ser consistentes con
aquellos relacionados con la auditora de certificacin del SGSI de la organizacin cliente
como se describe en esta norma.

El propsito del seguimiento es verificar que el SGSI se siga implementando para
considerar las implicancias de los cambios a ese sistema que se inici como resultado de
cambios en la operacin de la organizacin cliente y para confirmar un cumplimiento
constante con los requisitos de la certificacin. Los programas de seguimiento deberan
cubrir por lo general:

a) los elementos del mantenimiento del sistema que corresponden a una auditora
interna del SGSI, revisin por la direccin y acciones preventivas y correctivas;

b) comunicaciones de las partes externas como lo requiere ISO/IEC 27001 del SGSI y
otros documentos que se necesitan para la certificacin;

c) cambios al sistema documentado;

d) reas sujetas a modificacin;

e) elementos seleccionados de ISO/IEC 27001;

f) otras reas seleccionadas como apropiadas.
NCh-ISO 27006

23

9.3.1.2 Como mnimo, el organismo de certificacin debe revisar lo siguiente:

a) la efectividad del SGSI respecto a lograr los objetivos de la poltica de seguridad de
la informacin de la organizacin cliente;

b) el funcionamiento de los procedimientos para evaluar peridicamente y revisar el
cumplimiento con la legislacin y regulaciones pertinentes sobre la seguridad de la
informacin;

c) accin tomada sobre las no conformidades identificadas durante la ltima auditora.

9.3.1.3 El seguimiento del organismo de certificacin debera cubrir al menos los puntos
cubiertos para la auditora de seguimiento en ISO/IEC 17021. Adems, tambin se
deberan considerar los temas siguientes:

a) El organismo de certificacin debera poder adaptar su programa de seguimiento a
los temas de seguridad de la informacin relacionados con amenazas,
vulnerabilidades e impactos sobre los activos de la organizacin cliente y justificar
este programa.

b) El organismo de certificacin debera determinar el programa de seguimiento. Se
pueden acordar fechas especficas para las visitas con la organizacin cliente
certificada.

c) Las auditoras de seguimiento se pueden combinar con auditoras de otros sistemas
de gestin. El informe debe indicar claramente los aspectos pertinentes a cada
sistema de gestin.

d) El organismo de certificacin requiere supervisar el uso apropiado del certificado.

Durante las auditoras de seguimiento, los organismos de certificacin deben verificar los
registros de apelaciones y reclamos efectuados ante el organismo de certificacin y en
caso que se detecte una no conformidad o fracaso para satisfacer los requisitos de la
certificacin, que la organizacin cliente haya investigado su propio SGSI y los
procedimientos, y que haya tomado la accin correctiva apropiada.

Un informe de seguimiento debe contener, en particular, informacin sobre eliminacin
de no conformidades conocidas anteriormente. Como mnimo, el informe que resulte del
seguimiento se debera redactar para cubrir en su totalidad el requisito de a) anterior.
NCh-ISO 27006

24

9.4 Renovacin de la certificacin

Se aplican los requisitos de ISO/IEC 17021:2006, 9.4. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

9.4.1 SI 9.4 Auditoras de renovacin de la certificacin

9.4.1.1 Los procedimientos de auditora de renovacin de la certificacin deben ser
consistentes con aquellos relacionados con la auditora de certificacin del SGSI de la
organizacin cliente como se describe en esta norma.

Los organismos de certificacin deben tener procedimientos claros que determinen las
circunstancias y condiciones en que se mantendrn las certificaciones. Si se encuentran
no conformidades en una auditora de seguimiento o renovacin de la certificacin, el
organismo de certificacin debe corregirlas dentro de un plazo determinado. Si no se
hace la correccin dentro del plazo acordado, se debe reducir el alcance de la
certificacin o se suspende o retira el certificado.

El plazo para tomar la accin correctiva debera ser consistente con la gravedad de la no
conformidad y el riesgo para asegurar que los productos o servicios de la organizacin
cliente cumplen los requisitos especficos.

9.5 Auditoras especiales

Se aplican los requisitos de ISO/IEC 17021:2006, 9.5. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

9.5.1 SI 9.5 Casos especiales

Las actividades de seguimiento deben estar sujetas a una estipulacin especial si una
organizacin cliente con un SGSI certificado hace modificaciones importantes a su
sistema o si se efecta otro cambio que podra afectar el fundamento de su
certificacin.

9.6 Suspender, retirar o reducir el alcance de la certificacin

Se aplican los requisitos de ISO/IEC 17021:2006, 9.6.

9.7 Apelaciones

Se aplican los requisitos de ISO/IEC 17021:2006, 9.7.
NCh-ISO 27006

25

9.8 Reclamos

Se aplican los requisitos de ISO/IEC 17021:2006, 9.8. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

9.8.1 SI 9.8 Reclamos

Los reclamos representan una fuente de informacin como posibles no conformidades.
El organismo de certificacin, tras la recepcin de un reclamo, debera requerir de la
organizacin cliente certificada que establezca, y cuando sea apropiado informe, la
causa del reclamo, incluyendo cualquier factor predeterminado (o predispuesto) dentro
del SGSI de la organizacin cliente.

El organismo de certificacin se debera dar por satisfecho si la organizacin cliente est
usando tales investigaciones para tomar acciones de apoyo/correctivas, las que deberan
incluir acciones en cuanto a:

a) notificacin a autoridades adecuadas si la regulacin lo exige;

b) recuperacin de conformidad;

c) prevencin de recurrencia;

d) evaluacin y mitigacin de cualquier incidente de seguridad adverso y sus efectos
asociados;

e) garanta de la interaccin satisfactoria con otros componentes del SGSI;

f) evaluacin de efectividad de las acciones de apoyo/correctivas que se han adoptado.

El organismo de certificacin debe requerir que cada organizacin cliente cuyo SGSI sea
certificado ponga a su disposicin, al solicitrselo, los antecedentes de todos los
reclamos y acciones correctivas tomadas segn los requisitos de ISO/IEC 27001.

9.9 Registros relativos a solicitantes y clientes

Se aplican los requisitos de ISO/IEC 17021:2006, 9.9.

NCh-ISO 27006

26

10 Requisitos relativos al sistema de gestin de los organismos de
certificacin

10.1 Opciones

Se aplican los requisitos de ISO/IEC 17021:2006, 10.1.

10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001

Se aplican los requisitos de ISO/IEC 17021:2006, 10.2.

10.3 Opcin 2 - Requisitos generales del sistema de gestin

Se aplican los requisitos de ISO/IEC 17021:2006, 10.3. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.

10.3.1 SI 10.3 Implementacin del SGSI

Se recomienda que los organismos de certificacin implementen un SGSI de acuerdo
con ISO/IEC 27001.
NCh-ISO 27006

27

Anexo A
(Informativo)


Anlisis de la complejidad y aspectos especficos del sector al que
pertenece una organizacin


A.1 Potencial de riesgo de la organizacin

Es necesario considerar la complejidad del alcance del SGSI al decidir el plazo de la
auditora y la competencia del auditor. Este anexo entrega un ejemplo en que se analiza la
complejidad de una organizacin cliente.

De este modo, la categora de complejidad asignada a un alcance del SGSI se puede,
utilizar para decidir:

a) los requisitos de competencia de los auditores para efectuar la auditora del SGSI
(un ejemplo de ello se entrega en Anexo B);

b) los requisitos del plazo de la auditora del SGSI (un ejemplo de ello se entrega
en Anexo C);

La Tabla A.1 es una indicacin general de los posibles factores que hay que considerar al
determinar la complejidad del alcance de un SGSI. Se podra requerir su adaptacin a
circunstancias especficas o incluir algn factor especial como sea apropiado.

Al utilizar los criterios de complejidad (ver Tabla A.1) de forma individual, se pueden
clasificar los aspectos de la complejidad del alcance del SGSI en tres categoras: alta,
media y baja con una serie de factores. La categora efectiva general de la complejidad se
puede considerar como la categora mxima de todos los factores considerados y el
resultado es la clasificacin alta, media o baja.

NCh-ISO 27006

28

Tabla A.1 - Criterios para la complejidad del alcance del SGSI

Categora
Factor de complejidad
Alta Media Baja
Significado
Cantidad de empleados +
personal de contratista
1 000 200
< 200 - Escala de implementacin del SGSI
- Sistema de gestin de informacin
- Sistemas relacionados con gestin de la produccin
- Sistemas relacionados con servicios generales y de
ventas y distribucin
- Tecnologa de la informacin, y servicios de
informacin y sistemas relacionados
- Sistemas relacionados con construccin, fabricacin
de buques e ingeniera de plantas
Cantidad de usuarios
1 000 000 200 000
< 200 000 - Sistemas financieros
- Gobiernos, escuelas, sistemas mdicos y de hospitales
Cantidad de sitios
5 2
1 - Escala de implementacin del SGSI
- Seguridad fsica y ambiental (ver ISO/IEC 27001:2005,
clusula A.9)
Cantidad de servidores
100 10
< 10 - Escala de implementacin del SGSI
- Seguridad fsica y ambiental (A.9) Control de acceso
(ver ISO/IEC 27001:2005, clusula A.11)
- Telecomunicaciones y gestin de operacin
(ver ISO/IEC 27001:2005, clusula A.10)
Cantidad de estaciones de
trabajo + computadores de
escritorio + computadores
porttiles
300 50
< 50 - Control de acceso (ver ISO/IEC 27001:2005, A. 11)
Cantidad de personal para
desarrollo y mantenimiento
de aplicaciones
100 20
<20 - Adquisicin, desarrollo y mantenimiento de sistemas
de informacin (ver ISO/IEC 27001:2005, clusula
A.12)
(contina)

NCh-ISO 27006

29

Tabla A.1 - Criterios para la complejidad del alcance del SGSI (conclusin)

Categora
Factor de complejidad
Alta Media Baja
Significado
Tecnologa de red y
encriptacin
Conexin externa y de
Internet con requisitos de
encriptacin, firma digital
o infraestructura de clave
pblica (PKI)
Conexin externa y de Internet
con uso de encriptacin en
instalaciones estndares
integradas y sin requisitos de
firma digital ni PKI
Conexin externa y de Internet
sin requisitos de encriptacin,
firma digital ni PKI
- Telecomunicaciones y gestin de operacin
(ver ISO/IEC 27001:2005, clusula A.10)
- Control de acceso (ver ISO/IEC 27001:2005,
clusula A.11)
Significado en cumplimiento
legal
Incumplimiento lleva a
posible juicio
Incumplimiento provoca multa
financiera significativa o dao
a renombre comercial
Incumplimiento provoca multa
financiera no significativa o
dao a renombre comercial
- Leyes y directrices (ver ISO/IEC 27001:2005, clusula
A.15)
Alcance del riesgo de un
sector especfico (remitirse a
clusula A.2 para ejemplos
de categoras de un sector
especifico sobre riesgos de
seguridad de la informacin)
Se aplican leyes y
regulaciones de un sector
especfico
No son aplicables leyes ni
regulaciones a un sector
especfico, pero se consideran
riesgos significativos de un
sector especfico
No son aplicables leyes ni
regulaciones a un sector
especfico y tampoco se
consideran riesgos de un
sector especfico
- Escala de implementacin del SGSI
- Leyes y directrices (ver ISO/IEC 27001:2005,
clusula A.15)

NCh-ISO 27006

30

A.2 Categoras de un sector especfico del riesgo de seguridad de la
informacin

Los riesgos de la informacin pueden ser especficos al tipo de informacin considerado o al
sector en que opera una organizacin. Los ejemplos siguientes ilustran las distintas
categoras de riesgo.

Categoras especficas aplicables a todas las organizaciones:

- sueldos, pensiones, salud y seguridad, antecedentes organizacionales, informacin
interna e interdepartamental, etc.;

- otra informacin de carcter personal identificable;

- otra informacin comercialmente sensible o crtica, como informacin de investigacin y
desarrollo, informacin de diseo, detalles de clientes, resultados y pronsticos
financieros, planes comerciales, derechos de propiedad intelectual, procesos
manufactureros, etc.

Informacin gubernamental sensible y crtica:

- informacin pblica;

- aplicaciones de gobierno electrnico;

- informacin sobre ciudadanos (por ejemplo, salud, beneficios, impuestos, registros, etc.);

- informacin manejada por proveedores y fabricantes del gobierno, como diseos de
tecnologas de la informacin (TIC), instalaciones, productos, servicios, etc.

Categoras especficas aplicables a clases de organizacin:

- gobierno corporativo, boletn de compaas (listed companies) (posiblemente tambin
otras entidades de envergadura).

Categoras especficas aplicables a sectores comerciales:

- atencin mdica;

- educacin;

- aeroespacial;

- telecomunicaciones;

- servicios financieros;

- instituciones de caridad y sin fines de lucro.
NCh-ISO 27006

31

Anexo B
(Informativo)


Ejemplos de reas de competencia del auditor


B.1 Consideraciones de competencia general

Hay varias formas en que un auditor puede probar su conocimiento y experiencia. Se puede
demostrar el conocimiento y la experiencia, por ejemplo, al utilizar ttulos acadmicos
reconocidos. El registro, por ejemplo en el Registro Internacional de Auditores Certificados
(International Register of Certificated Auditors o IRCA) u otra entidad reconocida de registro
de auditores tambin se puede utilizar para demostrar el conocimiento y experiencia
requeridos. El nivel de competencia que requiere el equipo de auditora se debera establecer
segn el campo industrial o tecnolgico de la organizacin y el factor de complejidad.


B.2 Consideraciones de competencia especfica

B.2.1 Conocimiento de ISO/IEC 27001:2005, Anexo A controles

A continuacin se describe el conocimiento tpico en relacin con la auditora del SGSI.
Adems de las reas de control de ISO/IEC 27001:2005, Anexo A enumeradas en la tabla
siguiente, los auditores tambin deberan estar conscientes de otras normas de la familia
NCh27000.

Conocimiento y experiencia de requisitos de polticas y negocios
para la seguridad de la informacin
Poltica de seguridad
Conocimiento y experiencia general de los procesos
comerciales, prcticas y estructuras organizacionales
Organizacin de la seguridad de la informacin
Conocimiento de la evaluacin de activos, inventarios,
clasificaciones y uso aceptable de polticas
Gestin de activos
Conocimiento y experiencia general de los procesos y
procedimientos utilizados por departamentos de recursos humanos
Seguridad en recursos humanos
Conocimiento de seguridad fsica y ambiental Seguridad fsica y ambiental
Comunicaciones y gestin de operaciones
Control de acceso
Conocimiento y experiencia actualizados de normas, procesos,
tcnicas y mtodos usados para la seguridad de la informacin,
lo que incluye acciones de gestin y un nivel apropiado de
experiencia tcnica. Esto abarca conocimiento actual de algunas
de las prcticas comerciales comunes
Adquisicin, desarrollo y mantenimiento de
sistemas de informacin
Conocimiento y experiencia actualizados de los procesos y
procedimientos para la gestin de incidentes
Gestin de incidentes relativos a la seguridad de
la informacin
Conocimiento y experiencia actualizados de normas, procesos,
planes y procedimientos de prueba para la continuidad del negocio
Gestin de la continuidad del negocio
Conocimiento actualizado de temas contractuales comerciales y
leyes y regulaciones generales relacionadas con el SGSI
Cumplimiento
NCh-ISO 27006

32

B.2.2 Conocimiento tpico relacionado con el SGSI

Los auditores deberan tener conocimiento y comprensin de los siguientes temas de
auditora y SGSI:

- programacin y planificacin de auditora;

- tipos y metodologas de auditora;

- riesgos de auditora;

- anlisis de procesos de seguridad de la informacin;

- Ciclo Deming (Planificar, Hacer, Verificar y Actuar (PDCA)) para una mejora continua;

- auditora interna para la seguridad de la informacin.

Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos
regulatorios:

- propiedad intelectual;

- contenido, proteccin y retencin de registros organizacionales;

- proteccin y privacidad de datos;

- regulacin de controles criptogrficos;

- antiterrorismo;

- comercio electrnico;

- firmas electrnicas y digitales;

- seguimiento de la estacin de trabajo;

- intercepcin de telecomunicaciones y monitoreo de datos (por ejemplo, correo
electrnico);

- abuso de computadores;

- recoleccin de evidencia electrnica;

- pruebas de penetracin;

- requisitos de un sector especfico a nivel internacional y nacional (por ejemplo, banca).

Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos de
gestin:

- tratamiento de riesgos de seguridad de la informacin;

- riesgos de seguridad en la contratacin externa (outsourcing) de las tecnologas de la
informacin y comunicacin (TIC);

- riesgos de seguridad de la informacin en la cadena de suministro.
NCh-ISO 27006

33

Anexo C
(Informativo)


Plazo de la auditora


C.1 Introduccin

Este anexo contiene mayor informacin sobre ISO/IEC 17021:2006, 9.1, 9.2, 9.3 y 9.4.
Tambin se debera leer junto con SI 9.1.2, SI 9.1.3, SI 9.1.5, SI 9.1.6, SI 9.2.3.1,
SI 9.2.3.2 y SI 9.2.3.3 de esta norma. Este anexo entrega indicaciones para que el
organismo de certificacin elabore sus propios procedimientos con el fin de que determine el
plazo que necesita para certificar los alcances del SGSI de la organizacin cliente, que
pueden ser de distintos tamaos y complejidades en un amplio espectro de actividades.

Los organismos de certificacin requieren identificar el plazo que necesita el auditor para
efectuar la certificacin inicial, el seguimiento y la renovacin de la certificacin de cada
cliente y SGSI certificado. El uso de este anexo en la etapa de planificacin de la auditora
puede guiar a un enfoque consistente para determinar el plazo adecuado del auditor.
Asimismo, las directrices dadas en este anexo permiten que exista flexibilidad a la luz de lo
que se encuentre durante la auditora, especialmente en la etapa 1 y la complejidad del
alcance del SGSI.


C.2 Procedimiento para determinar el plazo de la auditora

La experiencia ha demostrado que el alcance del SGSI, esto es, la cantidad de empleados
(como se explica en el cuadro de plazos del auditor C.3), el tamao, las caractersticas, la
complejidad y el significado de los potenciales riesgos de seguridad de la informacin (como
se explica posteriormente en mayor detalle) determinarn el plazo de las auditoras del SGSI.
La subclusula SI 9.1.3, y tambin SI 9.2.3.1, SI 9.2.3.2 y SI 9.2.3.3 enumeran los criterios
que se deberan considerar al fijar el plazo que requiere el auditor. Este y otros factores se
necesitan examinar durante el proceso de revisin de contratos del organismo de
certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar al
auditor.

Es importante destacar que todos estos factores se deberan considerar al determinar el plazo
de la auditora y que el cuadro C.3 sobre este tema no se puede aplicar de forma aislada. Los
ejemplos siguientes ilustran los factores que pueden influir en el plazo de la auditora y
profundizar sobre la lista de factores entregados en SI 9.1.3:

- factores relacionados con el tamao del alcance del SGSI (por ejemplo, cantidad de
sistemas de informacin utilizados, volumen de informacin procesada, cantidad de
usuarios, cantidad de usuarios privilegiados, cantidad de plataformas de TI, cantidad de
redes y su tamao);
NCh-ISO 27006

34

- factores relacionados con la complejidad del SGSI (por ejemplo, criticidad de los sistemas
de informacin, la situacin de riesgos del SGSI, volmenes y tipos de informacin
sensible y crtica manejada y procesada, cantidad y tipos de transacciones electrnicas,
cantidad y tamao de proyectos de desarrollo, extensin de trabajos remotos vigentes,
extensin de la documentacin del SGSI);

- el (los) tipos(s) de negocios realizado(s) dentro del alcance del SGSI, y los requisitos de
seguridad, legales, regulatorios, contractuales y comerciales relacionados con estos tipos
de negocios;

- extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos
componentes del SGSI (como los controles implementados, documentacin y/o control
de procesos, acciones correctivas/preventivas, sistemas de informacin, sistemas de TI,
redes, por ejemplo si son fijas, mviles, inalmbricas, externas, internas);

- cantidad de sitios dentro del alcance del SGSI, las similitudes o diferencias de estos sitios
y si todos los sitios se auditarn o tan solo una muestra;

- desempeo demostrado anteriormente del SGSI;

- extensin de la contratacin externa (outsourcing) y organizacin de terceros
considerados en el alcance del SGSI y dependencia de estos servicios;

- normas, legislacin y regulaciones que se aplican a la certificacin y cualquier requisito
especfico de un sector que se podra aplicar.

La certificacin de un SGSI por lo general toma ms tiempo que la certificacin de un
sistema de gestin de la calidad o ambiental, debido a los mayores requisitos sobre un
sistema de gestin de la seguridad de la informacin a travs de demandas especficas de un
SGSI, como la poltica del SGSI, la gestin de riesgos y los objetivos del control del SGSI y
los controles. El organismo de certificacin requiere:

a) auditar la validez y consistencia del mtodo mediante el cual la organizacin cliente
determina el significado de sus riesgos y efectos de la seguridad de la informacin;

b) confirmar que el sistema diseado para lograr el cumplimiento (con toda la legislacin
pertinente y otros requisitos que se aplican al SGSI) es capaz de realizarlo y que el
sistema se implemente y mantiene;

c) confirmar que los objetivos del control y los controles se han seleccionado e
implementado correctamente, que se mide su efectividad y que el proceso para prevenir
y responder apropiadamente a fallas en la seguridad es eficaz y se cumple;

d) confirmar que se cumplan los requisitos documentados del SGSI de la organizacin
cliente;

e) reaccionar a mayores demandas que surjan de la etapa 1 de la auditora.
NCh-ISO 27006

35

C.3 Cuadro de plazos del auditor

C.3.1 General

El cuadro de plazos del auditor fija una cantidad promedio de los das iniciales de una
auditora (en este y en los cuadros siguientes, esta cantidad incluye los das para la etapa 1
y etapa 2 de la auditora), que segn la experiencia ha demostrado ser apropiada para el
alcance de un ISMS con una cantidad determinada de empleados. La experiencia tambin ha
indicado que para el alcance del SGSI de un tamao similar, se requerir un plazo parecido.

La variacin del tiempo destinado en cada certificacin depende de la cantidad de factores
como el tamao, alcance de la auditora, logstica, complejidad de la organizacin cliente y su
estado de preparacin para la auditora (ver tambin clusula C.2). Este y otros factores
necesitan ser examinados durante el proceso de revisin del contrato del organismo de
certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar al
auditor. Por lo tanto, el cuadro de plazo del auditor no se puede utilizar de forma aislada.

Este cuadro entrega el marco que se podra utilizar para planificar la auditora al identificar un
punto inicial basado en la cantidad total de empleados de todos los turnos, y ajustar esto en
base a los factores significativos que se aplican al alcance del SGSI que se auditarn y
atribuyen a cada factor una carga aditiva o sustractiva para modificar la cifra base. Los
trminos utilizados en este cuadro se explican en C.3.2.

Cuadro de plazos del auditor

Cantidad de
empleados
Plazo del auditor del
sistema de gestin
de la calidad para
auditora inicial
(das del auditor)
Plazo del auditor del
sistema de gestin
ambiental para
auditora inicial (das
del auditor)
Plazo del auditor
del SGSI para la
auditora inicial
(das del auditor)
Factores aditivos
y sustractivos
Tiempo
total del
auditor
1 - 10 2 3 5 Ver clusula C.2
11 - 25 3 - 7 Ver clusula C.2
26 - 45 4 6 8,5 Ver clusula C.2
46 - 65 5 - 10 Ver clusula C.2
66 - 85 6 - 11 Ver clusula C.2
86 - 125 7 8 12 Ver clusula C.2
126 - 175 8 - 13 Ver clusula C.2
176 - 275 9 - 14 Ver clusula C.2
276 - 425 10 - 15 Ver clusula C.2
426 - 625 11 12 16,5 Ver clusula C.2
626 - 875 12 - 17,5 Ver clusula C.2
876 - 1 175 13 - 18,5 Ver clusula C.2
1 176 - 1 550 14 - 19,5 Ver clusula C.2
1 551 - 2 025 15 18 21 Ver clusula C.2
2 026 - 2 675 16 - 22 Ver clusula C.2
(contina)

NCh-ISO 27006

36

Cuadro de plazos del auditor (conclusin)

Cantidad de
empleados
Plazo del auditor del
sistema de gestin
de la calidad para
auditora inicial
(das del auditor)
Plazo del auditor del
sistema de gestin
ambiental para
auditora inicial (das
del auditor)
Plazo del auditor
del SGSI para la
auditora inicial
(das del auditor)
Factores aditivos
y sustractivos
Tiempo
total del
auditor
2 676 - 3 450 17 - 23 Ver clusula C.2
3 451 - 4 350 18 - 24 Ver clusula C.2
4 351 - 5 450 19 - 25 Ver clusula C.2
5 451 - 6 800 20 - 26 Ver clusula C.2
6 801 - 8 500 21 - 27 Ver clusula C.2
8 501 - 10 700 22 - 28 Ver clusula C.2
>10 700 Seguir progresin - Seguir progresin Ver clusula C.2


C.3.2 Explicacin de trminos

Empleados en el sentido que aparece en el cuadro de plazos del auditor se refiere a todas las
personas cuyas actividades laborales se relacionan con el alcance del SGSI. La cantidad total
de empleados de todos los turnos es el punto inicial para determinar el plazo de la auditora.

La cantidad efectiva de empleados incluye a quienes no son permanentes (estacionales,
temporales y subcontratados) y que se desempaarn durante el tiempo de la auditora. Un
organismo de certificacin debera acordar con la organizacin que auditar el plazo para
realizar la tarea que demostrarn de la mejor forma el total alcance de la organizacin. La
consideracin incluye temporada, mes, da y fecha del turno tal como sea apropiado.

Los empleados a tiempo parcial deberan ser tratados como empleados a tiempo completo,
siempre que la cantidad de horas trabajadas se puedan comparar con un empleado a tiempo
completo.

El plazo del auditor abarca el tiempo destinado por el auditor o el equipo de auditora en la
etapa 1 y etapa 2 de la auditora y la planificacin (incluida la revisin de un documento
fuera de la sede de la organizacin a auditar de ser apropiado); conocimiento de la
organizacin, el personal, los antecedentes, la documentacin y los procesos, y la redaccin
del informe. Se espera que el plazo del auditor considerado en tal planificacin y redaccin
del informe no debera reducir el total del plazo del auditor en el sitio a auditar a menos
del 70% del tiempo considerado en el cuadro del plazo del auditor. La necesidad de tiempo
adicional para la planificacin y/o redaccin del informe no ser excusa para recortar el
tiempo que estar el auditor en el sitio a auditar. El tiempo de viaje del auditor no se incluye
en este clculo y es adicional al plazo del auditor referido en el cuadro.

NOTA 1) El 70% es un factor basado en la experiencia de auditoras del SGSI.
NCh-ISO 27006

37

Si se utilizan tcnicas remotas como la colaboracin interactiva por Internet, reuniones
virtuales, teleconferencias y/o verificacin electrnica de los procesos de la organizacin para
comunicarse con la organizacin, se deberan identificar estas actividades en el plan de la
auditora (ver SI 9.1.5) y se podra considerar que contribuye parcialmente al total del plazo
del auditor in situ.

Si el organismo de certificacin contempla un plan de auditora para el cual las actividades
remotas de auditora representan ms del 30% del tiempo planificado de auditora in situ, el
organismo de certificacin debera justificar el plan de auditora y obtener una aprobacin
especfica del organismo de certificacin antes de su implementacin.

NOTA 2) El tiempo del auditor in situ se refiere a aquel que destina para lugares individuales a auditar. Las
auditoras electrnicas de sitios remotos se consideran como remotas, incluso si ellas se efectan fsicamente bajo
las dependencias de la organizacin.

El plazo del auditor como se indica en el cuadro se refiere a los das del auditor en que ha
realizado su tarea. Un da del auditor corresponde a un da laboral completo.

Para el ciclo de la auditora de certificacin inicial, el plazo de seguimiento para una
organizacin determinada debera ser proporcional entre el tiempo destinado en la auditora
inicial y el tiempo total utilizado anualmente en el seguimiento y el tiempo en la auditora
inicial debera corresponder a
1
/3. El plazo de seguimiento previsto debera ser revisado cada
cierto tiempo para que se conozcan los cambios en la organizacin, el vencimiento del
sistema, etc., y al menos al momento de la auditora de renovacin de la certificacin.

El plazo total para la auditora de renovacin de la certificacin depender de los hallazgos de
la revisin como se define en SI 9.1.6 de esta norma e ISO/IEC 17021:2006, 9.4.
Asimismo, debera ser proporcional al plazo que se destinara en la auditora de certificacin
inicial de la misma organizacin y corresponder a ser cerca de
2
/3 del plazo que se requerira
para la auditora de certificacin inicial de la organizacin al momento en que se auditar para
la renovacin de la certificacin. El plazo de la auditora de renovacin de la certificacin es
mucho mayor que el plazo de seguimiento rutinario, pero, cuando la auditora de renovacin
de la certificacin se realiza al mismo tiempo como una visita de seguimiento rutinaria ya
prevista, la auditora de renovacin de la certificacin tambin bastar para satisfacer el
requisito de la de seguimiento. Independiente de la conclusin, se aplica la directriz que
aparece en SI 9.1.2.

Una vez listo el punto inicial general para determinar el plazo requerido de la auditora para el
alcance del SGSI tpico con la cantidad de empleados indicados, se necesita considerar
algunos ajustes para tomar en cuenta las diferencias que podran afectar el plazo real del
auditor para efectuar una auditora efectiva del SGSI especfico que se auditar junto con
aquellos enumerados en clusula C.2.
NCh-ISO 27006

38

Entre los factores de ejemplo que requieren tiempo adicional para la auditora se podran
encontrar:

- logstica complicada que incluye ms de un edificio o ubicacin en el alcance del SGSI;

- personal que habla ms de un idioma [se requiere intrprete(s) o se evita que auditores
individuales trabajen de forma independiente];

- alto grado de regulacin;

- el SGSI cubre procesos altamente complejos o una cantidad relativamente alta de
actividades o son nicas;

- procesos con una combinacin de hardware, software, procesos y servicios;

- actividades que requieren visitar sitios temporales para confirmar las actividades del
(de los) sitio(s) permanente(s) cuyo sistema de gestin est sujeto a certificacin
(ver Nota 3).

Entre los factores de ejemplo que permiten que requiera menos tiempo para la auditora se
podran encontrar:

- procesos o productos sin riesgo o un nivel bajo de riesgo;

- conocimiento previo de la organizacin (por ejemplo, la organizacin ya ha sido
certificada para otra norma por el mismo organismo de certificacin);

- preparacin del cliente para la certificacin (por ejemplo, ya ha sido certificado o
reconocido por el plan de un tercero);

- procesos que involucran una sola actividad general (por ejemplo, nicamente servicios);

- madurez del sistema de gestin utilizado;

- alto porcentaje de empleados que efectan las mismas tareas simples.

NOTA 3) En situaciones en que la organizacin cliente o la organizacin certificada proporciona su(s) producto(s) o
servicio(s) en sitios temporales es importante que las evaluaciones de tales sitios sean incorporadas a la auditora
de certificacin y a los programas de seguimiento.

Un sitio temporal es un lugar distinto a los sitios/ubicaciones identificas en el documento de
certificacin donde las actividades, dentro del alcance de la certificacin, se implementan
para un perodo definido. Estos sitios podran variar desde importantes sitios de gestin de
proyectos a sitios menores de servicio/instalacin. La necesidad de visitar tales sitios y la
extensin de la muestra se debera basar en una evaluacin de los riesgos de la falla de un
producto o servicio para satisfacer las necesidades/expectativas debido a la no conformidad
con el sistema. La muestra de los sitios elegidos debera representar la gama de necesidades
de competencia y variaciones de servicios de la organizacin dadas las consideraciones sobre
tamaos y tipos de actividades, y las diversas etapas de los proyectos en avance.
NCh-ISO 27006

39

Todos los atributos del alcance del SGSI, procesos y productos/servicios se deberan
considerar para efectuar un ajuste imparcial en esos factores que podran justificar
aproximadamente el tiempo que se requiere para efectuar una auditora efectiva. Los factores
adicionales pueden ser externos para factores sustractivos. En todos los casos donde se
efecten ajustes al plazo otorgado en el cronograma del auditor se debe mantener suficiente
evidencia y antecedentes para justificar la variacin.

El grfico siguiente ilustra la potencial interaccin de los factores aditivo y sustractivo en el
plazo del auditor del cuadro anteriormente citado.





Grande compleja
Multisitios
Muchos procesos
Alcance mayor
Procesos nicos
Producto y procesos de alto riesgo





Pocos procesos
Alcance menor
Procesos repetitivos
Pequea simple


Grande simple
Multisitios
Pocos procesos
Procesos repetitivos
Alcance menor




Muchos procesos
Producto y procesos de alto riesgo
Alcance mayor
Procesos nicos
Pequea compleja

Punto de inicio de cuadro de
plazos del auditor

- Organizacin / Complejidad del sistema +


-


D
i
s
t
r
i
b
u
c
i

n

d
e

l
a

o
r
g
a
n
i
z
a
c
i

n


+


NCh-ISO 27006

40

Anexo D
(Informativo)


Directriz para la revisin de los controles implementados de
ISO/IEC 27001:2005, Anexo A


D.1 Propsito

Este anexo proporciona una directriz para revisar la implementacin de los controles
enumerados en ISO/IEC 27001:2005, Anexo A y la recopilacin de evidencia de auditora
con respecto a su desempeo durante la auditora inicial y las siguientes visitas de
seguimiento. La implementacin de todos los controles elegidos por la organizacin cliente
para el SGSI (como por cada Declaracin de Aplicabilidad) necesita una revisin durante la
etapa 2 de la auditora inicial y las actividades de seguimiento o renovacin de la
certificacin.

La auditora demuestra que los hallazgos del organismo de certificacin sern suficientes
para elaborar una conclusin sobre la efectividad de los controles. La forma en que se espera
que se efecte un control se especificar en procedimientos o polticas que determine la
organizacin cliente o relacionadas con la Declaracin de Aplicabilidad. Obviamente esos
controles fuera del alcance del SGSI no sern auditados.

D.1.1 Evidencia de auditora

La evidencia de auditora de mejor calidad se recoge de la observacin del auditor
(por ejemplo, que una puerta que se cierra est efectivamente cerrada, que las personas
firman acuerdos de confidencialidad, que el activo registrado exista y contenga los activos
observados, que las configuraciones del sistema son adecuadas, etc.). La evidencia se puede
reunir al observar los resultados del desempeo de un control [por ejemplo, impresin de
derechos de acceso otorgados a personas por el funcionario de autorizacin competente,
antecedentes de la resolucin de un incidente, procesamiento de atribuciones suscritas por el
funcionario de autorizacin competente, minutas de reuniones de direccin (u otras), etc.].
La evidencia puede derivar de pruebas directas (o una nueva ejecucin) de controles
efectuados por el auditor [por ejemplo, intentos de efectuar tareas que se dicen estn
prohibidas por los controles, verificacin de la instalacin y actualizacin de software de
proteccin contra cdigos maliciosos en equipos, derechos de acceso otorgados
(tras verificacin con autoridades), etc.]. La evidencia se puede reunir al entrevistar
empleados/contratistas sobre procesos y controles, y determinar si esto es realmente
correcto.
NCh-ISO 27006

41

D.2 Forma de utilizar Tabla D.1

D.2.1 Columnas Control organizacional y Control tcnico

Una "X" en la respectiva columna indica si el control es organizacional o tcnico. Dado que
algunos controles son organizacionales y tcnicos, hay entradas en ambas columnas para
tales controles.

La evidencia del desempeo de controles organizacionales se puede reunir a travs de la
revisin de los antecedentes del desempeo de los controles, entrevistas, observacin e
inspeccin fsica. La evidencia del desempeo de controles tcnicos a menudo se puede
reunir a travs de pruebas del sistema (ver a continuacin) o mediante el uso de
herramientas especializadas de auditoras o generacin de informes.

D.2.2 Columna Prueba del sistema

La Prueba del sistema se traduce en una revisin directa de los sistemas (por ejemplo, la
revisin de las configuraciones o propiedades del sistema). Las preguntas del auditor se
podran responder en la mesa de control del sistema o mediante evaluacin de los resultados
de las herramientas de prueba. Si la organizacin cliente tiene una herramienta
computacional que sea conocida por el auditor, se puede usar para respaldar la auditora o se
pueden revisar los resultados de una evaluacin realizada por la organizacin cliente (o sus
subcontratistas).

Hay dos categoras para revisar los controles tcnicos:

- posible: la prueba del sistema es posible para evaluar la implementacin del control, pero
por lo general no es necesario;

- recomendado: la prueba del sistema es usualmente necesaria.

D.2.3 Columna Inspeccin visual

La Inspeccin visual significa que estos controles requieren por lo general una inspeccin
visual en el lugar para evaluar su efectividad. Es decir, no es suficiente revisar la respectiva
documentacin en papel o a travs de entrevistas, el auditor necesita verificar el control en
el lugar en que se implementa.

D.2.4 Columna Directriz de revisin de auditora

En caso de que fuera til contar con directrices para la auditora de un control en particular,
la columna de comentarios entrega las posibles reas de atencin para evaluar el control,
como tambin otras directrices para el auditor.
NCh-ISO 27006

42
Tabla D.1 - Clasificacin de los controles

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de la informacin
A.5.1.1 Documento de poltica de seguridad de
la informacin
X


A.5.1.2 Revisin de la poltica de seguridad de la
informacin
X

Minutas de revisin por la direccin
A.6 Organizacin de la seguridad de la
informacin



A.6.1 Organizacin interna
A.6.1.1 Compromiso de la direccin con la
seguridad de la informacin
X

Minutas de reuniones de la direccin
A.6.1.2 Coordinacin de la seguridad de la
informacin
X

Minutas de reuniones de la direccin
A.6.1.3 Asignacin de responsabilidades sobre
seguridad de la informacin
X


A.6.1.4 Proceso de autorizacin para las
instalaciones de procesamiento de informacin
X


A.6.1.5 Acuerdos de confidencialidad X Muestra de algunas copias de archivos
A.6.1.6 Contacto con autoridades X
A.6.1.7 Contacto con grupos especiales de
inters
X


A.6.1.8 Revisin independiente de la seguridad
de la informacin
X

Lectura de informes
(contina)
NCh-ISO 27006

43
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.6.2 Partes externas
A.6 2.1 Identificacin de los riesgos relacionados
con partes externas
X


A.6.2.2 Tener en cuenta la seguridad cuando
se trata con clientes
X


A.6. 2. 3 Tener en cuenta la seguridad en los
acuerdos con terceras partes
X

Prueba de algunas condiciones contractuales
A.7 Gestin de activos
A.7.1 Responsabilidad sobre los activos
A. 7.1.1 Inventario de activos X Identificacin de activos
A. 7.1.2 Propiedad de los activos X
A.7.1.3 Uso aceptable de los activos X
A.7.2 Clasificacin de la informacin
A.7.2.1 Directrices de clasificacin X
A.7.2.2 Etiquetado y manejo de la informacin X

Designacin de nombres: directorios, archivos, informes
impresos, medios grabados (por ejemplo, cintas, discos,
CD), mensajes electrnicos y transferencias de archivos
A.8 Seguridad ligada a los recursos humanos Muestra de algunos archivos de recursos humanos
A.8.1 Previo al empleo
A.8.1.1 Roles y responsabilidades X
A.8.1.2 Seleccin X
A.8.1.3 Trminos y condiciones de la relacin
laboral
X


(contina)
NCh-ISO 27006

44
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.8.2 Durante el empleo
A.8.2.1 Responsabilidades de la direccin X
A.8.2.2 Concientizacin, educacin y formacin
en seguridad de la informacin
X Preguntas al personal si conocen temas especficos que
debieran conocer
A.8.2.3 Proceso disciplinario X
A.8.3 Finalizacin o cambio de la relacin
laboral o empleo

A.8.3.1 Responsabilidades en la desvinculacin X
A.8.3.2 Devolucin de activos X
A.8.3.3 Remocin de derechos de acceso X X Recomendado
A.9 Seguridad fsica y del ambiente
A.9.1 Areas seguras
A.9.1.1 Permetro de seguridad fsica X
A.9.1.2 Controles de acceso fsico X X Posible X Archivo de registros de acceso
A.9.1.3 Seguridad de oficinas, recintos e
instalaciones
X X
A.9.1.4 Proteccin contra amenazas externas
y del ambiente
X X
A. 9. 1.5 El trabajo en las reas seguras X X
A.9.1.6 Areas de acceso pblico, de entrega y
de carga
X X
(contina)
NCh-ISO 27006

45
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.9.2 Seguridad del equipamiento
A.9.2.1 Ubicacin y proteccin del equipamiento X X Posible X
A.9.2.2 Elementos de soporte X X Posible X
A.9.2.3 Seguridad en el cableado X X
A.9.2.4 Mantenimiento del equipamiento X
A.9.2.5 Seguridad del equipamiento fuera de
las instalaciones de la organizacin
X X Posible Encriptacin de equipos porttiles
A.9.2.6 Seguridad en la reutilizacin o descarte
de equipos
X X Posible X
A.9.2.7 Retiro de bienes X
A.10 Gestin de comunicaciones y operaciones
A.10.1 Procedimientos operacionales y
responsabilidades

A.10.1.1 Documentacin de los procedimientos de
operacin
X
A.1.0.1.2 Gestin de cambios X X Recomendado
A.10.1.3 Segregacin de funciones X
A.10.1.4 Separacin de las instalaciones para
desarrollo, prueba y produccin
X X Posible
A.10.2 Gestin de la entrega del servicio por
terceras partes

A.10.2.1 Entrega del servicio X
A.10.2.2 Supervisin y revisin de los servicios
de terceras partes
X X Posible
(contina)
NCh-ISO 27006

46
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.10.2.3 Gestin de cambios en los servicios
de terceras partes
X
A.10.3 Planificacin y aceptacin del sistema
A.10.3.1 Gestin de la capacidad X X Posible
A.10.3.2 Aceptacin del sistema X
A.10.4 Proteccin contra cdigo malicioso y
cdigo mvil

A.10.4.1 Controles contra cdigo malicioso X X Recomendado Muestras de servidores, computadores de escritorios,
puertas de enlace (gateways)
A.10.4.2 Controles contra cdigo mvil X X Posible
A.10.5 Respaldo
A.10.5.1 Respaldo de la informacin X X Recomendado Intento de recuperacin
A.10.6 Gestin de la seguridad en las redes
A.10.6.1 Controles de red X X Posible
A.10.6.2 Seguridad de los servicios de red X Acuerdos de nivel de servicio (Service Level Agreement
o SLA), caractersticas de seguridad
A.10.7 Manejo de los medios
A.10.7.1 Gestin de medios removibles X X Posible
A.10.7.2 Eliminacin de los medios X
A.10.7.3 Procedimientos para el manejo de la
informacin
X
A.10.7.4 Seguridad de la documentacin de
sistemas
X X Posible X
(contina)
NCh-ISO 27006

47
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.10.8 Intercambio de informacin
A.10.8.1 Polticas y procedimientos para
intercambio de informacin
X
A.10.8.2 Acuerdos de intercambio X
A.10.8.3 Medios fsicos en trnsito X X Posible Encriptacin o proteccin fsica
A.10.8.4 Mensajera electrnica X X Posible Confirmacin de mensajes de muestra conforme con
polticas/procedimientos
A.10.8.5 Sistemas de informacin del negocio X
A.10.9 Servicios de comercio electrnico
A.10.9.1 Comercio electrnico X X Posible
A.10.9.2 Transacciones en lnea X X Recomendado Verificacin de integridad y acceso
A.10.9.3 Informacin accesible pblicamente X X Posible
A.10.10 Seguimiento
A.10.10.1 Logs de auditora X X Posible En lnea o impreso
A.10.10.2 Seguimiento del uso del sistema X X Posible
A.10.10.3 Proteccin de la informacin de log X X Posible
A.10.10.4 Logs del administrador y el operador X X Posible
A.10.10.5 Log de fallas X
A.10.10.6 Sincronizacin de relojes X Posible
(contina)
NCh-ISO 27006

48
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.11 Control de acceso
A.11.1 Requisito de negocio para el control de
acceso


A.11.1.1 Poltica de control de acceso X
A.11.2 Gestin de acceso de usuarios
A.11.2.1 Registro de usuarios X Muestras de autorizaciones para empleados y contratistas
a fin de otorgar todos los derechos de acceso para todos
los sistemas
A.11 2.2 Gestin de privilegios X X Posible Transferencia interna de persona
A.11.2.3 Gestin de contraseas del usuario X
A.11.2.4 Revisin de los derechos de acceso
de los usuarios
X
A.11.3 Responsabilidades del usuario
A.11.3.1 Uso de contraseas X Verificacin de directrices y polticas vigentes para
usuarios
A.11.3.2 Equipo de usuario desatendido X Verificacin de directrices y polticas vigentes para
usuarios
A.11.3.3 Poltica de escritorio y pantalla limpios X X
A.11.4 Control de acceso a redes
A.11.4.1 Polticas sobre el uso de servicios en
red
X
A.11.4.2 Autenticacin de usuarios para
conexiones externas
X X Recomendado
(contina)
NCh-ISO 27006

49
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.11.4.3 Identificacin de equipamiento en la
red
X
A.11.4.4 Proteccin de puertos de diagnstico
y configuracin remotos
X Recomendado
A.11.4.5 Separacin en las redes X X Posible Diagramas de redes: WAN, LAN, VLAN, VPN, objetos
de redes, segmentos de redes (por ejemplo, zona
desmilitarizada o DMZ)
A.11.4.6 Control de conexin de red X X Recomendado Redes compartidas que no son muy comunes
A.11.4.7 Control de enrutamiento de red X X Recomendado Firewalls, enrutadores y conmutadores: Base de reglas,
lista de control de acceso (Access Control List o ACL),
polticas de control de acceso
A.11.5 Control de acceso al sistema operativo
A.11.5.1 Procedimientos de conexin seguros X X Recomendado
A.11.5.2 Identificacin y autenticacin de
usuarios
X X Recomendado
A.11.5.3 Sistema de gestin de contraseas X X Recomendado
A.11.5.4 Uso de utilitarios del sistema X X Recomendado
A.11.5.5 Desconexin automtica de sesiones X X Posible X
A.11.5.6 Limitacin del tiempo de conexin X X Posible X
A.11.6 Control de acceso a la informacin y a
las aplicaciones

A.11.6.1 Restriccin de acceso a la informacin X X Recomendado
(contina)
NCh-ISO 27006

50
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.11.6.2 Aislamiento de sistemas sensibles X X Posible
A.11.7 Informtica mvil y trabajo remoto
A.11.7.1 Informtica y comunicaciones mviles X X Posible
A.11.7.2 Trabajo remoto X X Posible
A.12 Adquisicin, desarrollo y mantenimiento
de sistemas de informacin

A.12.1 Requisitos de seguridad de los sistemas
de informacin

A.12.1.1 Anlisis y especificacin de requisitos
de seguridad
X
A.12.2 Procesamiento correcto en las
aplicaciones

A.12.2.1 Validacin de los datos de entrada X X Recomendado Directrices de desarrollo de software, pruebas de
software; confirmacin que existen en la prctica los
controles que requiere el usuario, en aplicaciones
comerciales de muestra
A.12.2.2 Control de procesamiento interno X X Posible Directrices de desarrollo de software, pruebas de
software; confirmacin que existen en la prctica los
controles que requiere el usuario, en aplicaciones
comerciales de muestra
A.12.2.3 Integridad de mensajes X Posible
(contina)
NCh-ISO 27006

51
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.12.2.4 Validacin de datos de salida X X Posible Directrices de desarrollo de software, pruebas de
software; confirmacin que existen en la prctica los
controles que requiere el usuario, en aplicaciones
comerciales de muestra
A.12.3 Controles criptogrficos
A.12.3.1 Poltica sobre el uso de controles
criptogrficos
X X Posible Tambin hay que verificar implementacin de poltica
donde sea apropiado
A.12.3.2 Gestin de claves X X Recomendado
A.12.4 Seguridad de los archivos del sistema
A. 12.4.1 Control del software en produccin X X Posible
A.12.4.2 Proteccin de los datos de pruebas
de sistema
X X Posible X
A.12.4.3 Control de acceso al cdigo fuente
de los programas
X X Recomendado
A.12.5 Seguridad en los procesos de desarrollo
y soporte

A.12.5.1 Procedimientos de control de cambios X
A.12.5.2 Revisin tcnica de las aplicaciones
despus de cambios en el sistema operativo
X
A.12.5.3 Restricciones en los cambios a los
paquetes de software
X
A.5.12.4 Fuga de informacin X X Posible Servicios desconocidos
A.12.5.5 Desarrollo externo de software X
(contina)
NCh-ISO 27006

52
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.12.6 Gestin de la vulnerabilidad tcnica
A.12.6.1 Control de vulnerabilidades tcnicas X X Recomendado Distribucin de parches (patches)
A.13 Gestin de incidentes de seguridad de la
informacin

A.13.1 Informe de eventos y debilidades de
seguridad de la informacin

A.13.1.1 Informe de eventos de seguridad de
la informacin
X
A.13.1.2 Informes de las debilidades de seguridad X
A.13.2 Gestin de incidentes y mejoras en la
seguridad de la informacin

A.13.2.1 Responsabilidades y procedimientos X
A.13.2.2 Aprendiendo de los incidentes de
seguridad de la informacin
X
A.13.2.3 Recoleccin de evidencia X
A.14 Gestin de la continuidad del negocio
A.14.1 Aspectos de seguridad de la informacin
en la gestin de la continuidad del negocio
Minutas de revisin por la direccin
A.14.1.1 Inclusin de la seguridad de la
informacin en el proceso de gestin de la
continuidad del negocio
X
(contina)
NCh-ISO 27006

53
Tabla D.1 - Clasificacin de los controles (continuacin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.14.1.2 Continuidad del negocio y evaluacin
de riesgos
X
A.14.1.3 Desarrollo e implementacin de planes
de continuidad que incluyen seguridad de la
informacin
X X Posible X Inspeccin del sitio de recuperacin de desastre,
distancia del sitio de recuperacin de desastre segn
evaluacin de riesgos y requisitos legales y regulatorios
aplicables
A.14.1.4 Estructura para la planificacin de la
continuidad del negocio
X
A.14.1.5 Pruebas, mantenimiento y reevaluacin
de los planes de continuidad del negocio
X
A.15 Cumplimiento
A.15.1 Cumplimiento de los requisitos legales
A.15.1.1 Identificacin de la legislacin X
A.15.1.2 Derechos de propiedad intelectual X
A.15.1.3 Proteccin de los registros de la
organizacin
X X Posible
A.15.1.4 Proteccin de los datos y privacidad
de la informacin personal
X X Posible
A.15.1.5 Prevencin del uso inadecuado de las
instalaciones de procesamiento de la informacin
X
A.15.1.6 Regulacin de los controles
criptogrficos
X
(contina)

NCh-ISO 27006

54
Tabla D.1 - Clasificacin de los controles (conclusin)

Controles en
ISO/IEC 27001:2005, Anexo A
Control
organizacional
Control
tcnico
Prueba del
sistema
Inspeccin
visual
Directriz de revisin de auditora
A.15.2 Cumplimiento con las polticas y
normas de seguridad y cumplimiento tcnico

A.15.2.1 Cumplimiento con las polticas y
normas de seguridad
X
A.15.2.2 Verificacin del cumplimiento tcnico X X Proceso de evaluacin y seguimiento
A.15.3 Consideraciones de la auditora de los
sistemas de informacin

A.15.3.1 Controles de auditora de sistemas de
informacin
X
A.15.3.2 Proteccin de las herramientas de
auditora de sistemas de informacin
X X Posible


NORMA CHILENA OFICIAL NCh-ISO 27006.Of2010

I N S T I T U T O N A C I O N A L D E N O R M A L I Z A C I O N I N N - C H I L E










Tecnologa de la informacin - Tcnicas de seguridad -
Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de gestin de la seguridad de la
informacin

Information technology - Security techniques - Requirements for bodies providing audit
and certification of information security management systems




Primera edicin : 2010




CORRESPONDENCIA CON NORMA INTERNACIONAL
ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for bodies providing
audit and certification of information security management systems, IDT



CIN

COPYRIGHT 2010: INSTITUTO NACIONAL DE NORMALIZACION - INN * Prohibida reproduccin y venta *
Direccin : Matas Cousio N 64, 6 Piso, Santiago, Chile
Web : www.inn.cl
Miembro de : ISO (International Organization for Standardization) COPANT (Comisin Panamericana de Normas Tcnicas)