Para soportar la auditoría interna, ¿Cuál es la información documentada
obligatoria de cara a la ISO/IEC 27001?
A continuación, los documentos que necesita elaborar para soportar la auditoría
interna con la norma ISO 27001:2013
El alcance del sistema de gestión de seguridad de la información (cláusula
4.3) Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2) Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2) Declaración de aplicabilidad (cláusula 6.1.3 d) Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2) Informe sobre evaluación de riesgos (cláusula 8.2) Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4) Inventario de activos (cláusula A.8.1.1) Uso aceptable de los activos (cláusula A.8.1.3) Política de control de acceso (cláusula A.9.1.1) Procedimientos de operación para gestión de TI (cláusula A.12.1.1) Principios de ingeniería de sistemas seguros (cláusula A.14.2.5) Política de seguridad para proveedores (cláusula A.15.1.1) Procedimiento para gestión de incidentes (cláusula A.16.1.5) Procedimientos de Continuidad de negocio (cláusula A.17.1.2) Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)
2. Teniendo en cuenta la 19011, ¿Cuál es la información documentada que
podríamos adicionar a la exigida por la 27001 con el fin de evidenciar el PHVA de la auditoría?
Según la ISO 19011:2018, sólo la información que es verificable puede constituir
evidencia de la auditoría. Esta evidencia debería ser registrada siempre y basarse en muestras de información disponible. Por ejemplo, si auditamos una empresa de transporte, habrá que coger una muestra de los envíos que realiza. De este modo se podrá ver si se cumplen correctamente los estándares.
Los métodos para recopilar esta información en la auditoría incluyen entrevistas u
observación de actividades. También consiste en la revisión de documentos del sistema de gestión.
Por lo anterior la información documentada que podríamos adicionar a la exigida
por la 27001 con el fin de evidenciar el PHVA de la auditoría sería:
Realizar revisión de información documentada La información
documentada del sistema de gestión relevante del auditado debería ser revisada para:
Recopilar información para comprender las operaciones del
auditado y preparar las actividades de auditoría y los documentos de trabajo de auditoría aplicables Procesos y funciones Establecer una visión general del alcance de la información documentada para determinar la posible conformidad con los criterios de auditoría y detectar posibles áreas de preocupación, como deficiencias, omisiones o conflictos. La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de gestión, así como informes de auditoría anteriores. La revisión debería tener en cuenta el contexto de la organización del auditado, incluidos su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados. También debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría.