1.

Para soportar la auditoría interna, ¿Cuál es la información documentada

obligatoria de cara a la ISO/IEC 27001?

A continuación, los documentos que necesita elaborar para soportar la auditoría

interna con la norma ISO 27001:2013

 El alcance del sistema de gestión de seguridad de la información (cláusula

4.3)
 Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2)
 Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2)
 Declaración de aplicabilidad (cláusula 6.1.3 d)
 Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2)
 Informe sobre evaluación de riesgos (cláusula 8.2)
 Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y
A.13.2.4)
 Inventario de activos (cláusula A.8.1.1)
 Uso aceptable de los activos (cláusula A.8.1.3)
 Política de control de acceso (cláusula A.9.1.1)
 Procedimientos de operación para gestión de TI (cláusula A.12.1.1)
 Principios de ingeniería de sistemas seguros (cláusula A.14.2.5)
 Política de seguridad para proveedores (cláusula A.15.1.1)
 Procedimiento para gestión de incidentes (cláusula A.16.1.5)
 Procedimientos de Continuidad de negocio (cláusula A.17.1.2)
 Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)

2. Teniendo en cuenta la 19011, ¿Cuál es la información documentada que

podríamos adicionar a la exigida por la 27001 con el fin de evidenciar el PHVA de
la auditoría?

Según la ISO 19011:2018, sólo la información que es verificable puede constituir

evidencia de la auditoría. Esta evidencia debería ser registrada siempre y basarse
en muestras de información disponible. Por ejemplo, si auditamos una empresa de
transporte, habrá que coger una muestra de los envíos que realiza. De este modo
se podrá ver si se cumplen correctamente los estándares.

Los métodos para recopilar esta información en la auditoría incluyen entrevistas u

observación de actividades. También consiste en la revisión de documentos del
sistema de gestión.

Por lo anterior la información documentada que podríamos adicionar a la exigida

por la 27001 con el fin de evidenciar el PHVA de la auditoría sería:

 Realizar revisión de información documentada La información

documentada del sistema de gestión relevante del auditado debería ser
revisada para:

 Recopilar información para comprender las operaciones del

auditado y preparar las actividades de auditoría y los documentos
de trabajo de auditoría aplicables
 Procesos y funciones
 Establecer una visión general del alcance de la información
documentada para determinar la posible conformidad con los
criterios de auditoría y detectar posibles áreas de preocupación,
como deficiencias, omisiones o conflictos.
 La información documentada debería incluir, pero no limitarse a:
documentos y registros del sistema de gestión, así como informes
de auditoría anteriores. La revisión debería tener en cuenta el
contexto de la organización del auditado, incluidos su tamaño,
naturaleza y complejidad, y sus riesgos y oportunidades
relacionados. También debería tener en cuenta el alcance, los
criterios y los objetivos de la auditoría.