Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
1. Introducción 5
2. Alcance y
finalidad de la
presente directriz 5
3. Referencias 5
4. Términos y
definiciones 6
5. Principios de la
auditoría 7
6. Gestión de auditorías 8
6.1 Gestión del
programa de auditoría sgsi
8
6.2 Gestión de una
auditoría SGSI 8
7. El proceso de
auditoría 9
7.1 Encuesta de alcance y previa a
la auditoría 9
7.2 Planificación y
preparación de auditorías 10
7.3 Trabajo de campo de
auditoría 10
7.4 Análisis de auditoría 11
7.5 Informes de auditoría 11
7.6 Cierre de la
auditoría 13
8. Competencia y
evaluación de los
auditores 13
1. Introducción
Esta guía de auditoría de Information S ecurity Management S ystem es mantenida por los miembros del
Foro ISO27k en ISO27001security.com, una comunidad internacional de profesionales que utilizan
activamente la familia ISO / IEC 27000 de normas ISMS conocida coloquialmente como "ISO27k".
Escribimos esto inicialmente en 2008 para contribuir al desarrollo de ISO / IEC 27007 al proporcionar lo que
nosotros, comoimplementadores de SGSI experimentados y auditores de TI / SGSI, creíamos que valía la pena.
Un objetivo secundario era proporcionar una directriz pragmática y útil para quienes participan en la auditoría
del SGSI.
Desde entonces, se ha publicado ISO/IEC 27007. También se han revisado otras normas ISO27k, por lo que la
directriz se actualizó a fondo en 2017.
El cuerpo principal de esta directriz se refiere al propósito y el proceso de la auditoría. El apéndice A es una
lista de comprobación (un conjunto genérico de pruebas de auditoría) para auditar los controles de
seguridad de la información gestionados por el SGSI. El Apéndice B es una lista de verificación para auditar el
propio sistema de gestión.
3. Referencias
Consulte a:
ISO/IEC 27000:2016 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la
seguridad de la información - Visión general y vocabulario. Este estándar gratuito proporciona una visión
general de ISO27k y define formalmente muchos términos especializados utilizados en los estándares.
ISO/IEC 27001:2013 Tecnología de la información — Técnicas de seguridad — Requisitos del sistema de
gestión de la seguridad de la información. Esta es la especificación formal para un SGSI contra el cual las
organizaciones pueden ser certificadas conformes. La sección 6 introduce la necesidad de «auditorías
internasdel SGSI» y establece brevemente los principales requisitos para los procedimientos de auditoría.
La sección 7 también identifica la necesidad de revisiones periódicas (al menos anuales) de la gestión del
SGSI. Aparte de los controles enumerados en el Anexo A, estos son requisitos obligatorios para
lasorganizaciones cerificadas. Incluso si la organización implementa un conjunto de control alternativo,
los controles elegidos deben compararse con los enumerados en el Anexo A para determinar su
pertinencia e integridad.
ISO/IEC 27002:2013 Tecnología de la información — Técnicas de seguridad — Code práctica para los
4. Términos y definiciones
La mayoría de los términos relacionados con el SGSI utilizados en esta guía y en las normas relacionadas se
definen en ISO/IEC 27000 e ISO 19011. Aquí se definen términos específicos relacionados con la auditoría de
TI y SGSI para mayor claridad, ya que se interpretan y utilizan en esta guía:
Auditoría: el proceso en el que un sujeto de auditoría es revisado e informado de forma independiente
por uno o más auditores competentes en nombre de las partes interesadas. La auditoría es un proceso
sistemático, independiente, formal, estructurado y documentado para obtener pruebas de auditoría y
probarlas objetivamentepara determinar en qué medida se cumplen los criterios de auditoría;
Lista de verificación de auditoría: un cuestionario estructurado o plan de trabajo para guiar a los
auditores en la prueba del tema de auditoría ;
Criterios de auditoría: se utilizan como referencia para la auditoría. Puede incluir requisitosu objetivos
que el SGSI debe cumplir (por ejemplo, el cumplimiento de las normas ISO27k pertinentes, las políticas y
5. Principios de la auditoría
La sección 4 de la norma ISO 19011 cubre los principios de la La independencia tiene que ver
auditoría en general, incluyendo importantes principios genéricos de tanto con el estado mental del
auditoría p. ej.. evaluación independiente con arreglo a criterios auditor como con las relaciones
acordados, además de principios más específicos dirigido a de informe: el pensamiento
auditorías de sistemas de gestión. En todos los asuntos relacionados objetivo, racional y crítico permite
con la auditoría, el auditor debe ser independiente tanto en su al auditor notar cosas que otros
actitud como en su actitud. apariencia. La función o equipo de pasan por alto o ignoran.
6. Gestión de auditorías
7. El proceso de auditoría
Si bien los nombres de fase y los detalles varían, las asignaciones de auditoría suelen seguir una secuencia
lógica a lo largo de estas líneas:
La iteración es común, por ejemplo, cuando el análisis o la presentación de informes requieren evidencia adic
9. Control de documentos
9.1 Autores
Los siguientes miembros del Foro ISO27k actualizaron esta guía en 2017: Bhushan Kaluvakolan; Richard
Regalado; Gary Hinson y Pratibha Agrawal.
Las siguientes personas contribuyeron a la versión original de 2012 de la guía: Alchap; Javier Cao Avellaneda;
Antón Aylward; Pritam Bankar; Jesús Benitez; Lee Evans; Gary Hinson; Khawaja Faisal Javed;
Lakshminarayanan; Rocky Lam; Prasad Pendse; Renato Aquilino Pujol; Bala Ramanan; Marappan Ramiah;
Richard Regalado; Mninikhaya Qwabaza (Khaya); Kim Sassaman; Mooney Sherman; Juan Sur; Jasmina
Trajkovski; Rob Whitcher y otros.
9.2 Historia
Marzo de 2008 – Primera publicación de la guía presentada al comité ISO/IEC JTC1/SC27 a través de
Standards New Zealand, y publicada como parte del kit de herramientas ISO27k gratuito.
Julio-agosto de 2017 - Documento completo actualizado, primero por un esfuerzo de equipo colaborativo
utilizando Google Docs y luego finalizado en MS Word, y republicado en el kit de herramientas ISO27k.
9.3 Retroalimentación
Los comentarios, consultas y (¡especialmente!) sugerencias de mejora son bienvenidos a través del Foro ISO27k
o directamente a Gary Hinson (Gary@isect.com).
Introducción
La siguiente lista de comprobación de pruebas de auditoría es genérica. Refleja y se refiere principalmente al
asesoramiento de ISO / IEC 27002 sobre controles de seguridad de la información sin tener en cuenta los
requisitos de control específicos que una organización individual pueda tener en relación con sus riesgos de
información identificados a través de los procesos de evaluación y gestión de riesgos.
Esta es una guía genérica para ayudar a revisar los controles de Hemos modificado, ampliado o
seguridad de la organización, principalmente en comparación con elaborado deliberadamente el
las recomendaciones de ISO / IEC 27001 Anexo A, ISO / IEC 27002 y asesoramiento de ISO / IEC 27002
otros ISO27k normas. No puede proporcionar orientación en diversas áreas, basándonos en
específica sobre la riesgos particulares y controles aplicables a nuestro trabajo profesional y
cada situación y, por lo tanto, deben ser personalizados e experiencia de auditoría con SGSI
interpretados por auditores de TI experimentados de acuerdo con en diversas organizaciones e
el contexto. Por ejemplo, el riesgo de la organización anaLa lisis industrias que se toman en serio la
puede haber determinado que determinados objetivos de control seguridad de la información (por
de las normas no son aplicables y, por lo tanto, pueden no ser ejemplo, hemos
necesarios los controles correspondientes, mientras que en otros incorporadopruebas sobre
ámbitos los objetivos de control pueden ser más riguroso de lo continuidad del negocio). Esta no
sugerido en la norma y es posible que se requieran controles
adicionales. El Risk Treatment Plan y Statement of Applicability
debe proporcionar más detalles al respecto.
Las pruebas de auditoría que se indican a continuación pretenden ser indicaciones o recordatorios de los
principales aspectos que los auditores de TI competentes, calificados y experimentados normalmente
verificarían. No cubren todos los aspectos del riesgo de la información, la seguridad y las áreas relacionadas.
No estándestinados a ser preguntados textualmente o marcados poco a poco. No son adecuados para su uso
por auditores sin experiencia que trabajan sin supervisión.
La lista de verificación no está destinada a ser utilizada sin la debida consideración y modificación. Los
auditores de SGSI normalmente calificanlas listas de verificación personalizadas de la tasa genética que
reflejan el alcance y la escala específicos del SGSI particular que se audita, teniendo en cuenta los requisitos
de seguridad de la información que ya son evidentes en esta etapa (como las leyes relevantes para la
seguridad de la información, las regulaciones ylos estándares que se sabe que se aplican a organizaciones
similares en la industria). Además, la lista de verificación de auditoría puede modificarse durante el curso de
la auditoría si salen a la luz áreas de preocupación previamente subestimadas. Por último, la lista de
verificación debe reflejarlas prácticas normales de trabajo de los auditores, por ejemplo, columnas para notas
de auditoría, referencias a pruebas de auditoría en el archivo, análisis DAFO/PEST de los hallazgos, etc.
Dado que las listas de verificación, los archivos, las notas y las pruebas de auditoría del SGSI
completados contienen información confidencial sobre el riesgo de la información y los arreglos de
seguridad de la organización, deben estar adecuadamente protegidos para garantizar su confidencialidad
e integridad.
A.10. Criptografía
A.11.2 Equipo
A.11.2.1 Ubicación y protección de los equipos: ¿las TIC y los equipos conexos se encuentran en áreas
adecuadamente protegidas? ¿Las pantallas de ordenador, impresoras y teclados están ubicados o protegidos
para evitar la visualización no autorizada? Verifique los controles para minimizar el riesgo de amenazas
físicas yambientales como:
Agua/inundaciones: instalaciones ubicadas adecuadamente para minimizar el potencial de inundación
(por ejemplo, por encima del nivel freático, no adyacentes a los tanques de agua, sin tuberías de agua por
encima, etc.). En su caso, protección adicional/secundaria instalada ymintenance realizado, por ejemplo.
membranas impermeables, bandejas de goteo debajo de las unidades de aire acondicionado, detección
de agua debajo del piso con alarmas remotas y procedimientos de incidentes, inspecciones o
inspecciones regulares de techos, vacíos debajo del piso, etc. para signos de fuga de agua/penetración;
Incendio y humo: instalaciones y accesorios no inflamables, alarmas contra incendios, cableado de bajo
humo, etc.
Temperatura, humedad y potencia: véase A.11.2.2
Polvo: equipos y filtros de aire acondicionado mantenidos (revisados, limpiados, reemplazados)
regularmente. Las instalaciones de TIC se mantienen limpias, por ejemplo, utilizando "limpieza profunda"
especializada, incluidos huecos de pisos y techos, revestimientos de paredes con bajo nivel de polvo,
sellado debajo del piso, cubiertas / membranas contra el polvo, etc. [Nota: los limpiadores en áreas
sensibles como las salas de computadoras normalmente deben estar acompañados / supervisados, a
menos que la limpieza solo sea realizada por personal competente y de confianza. Es posible que los
limpiadores deban ser autorizados por la seguridad y monitoreados de manera proactiva si la
organización tiene información clasificada por el gobierno u otra información altamente sensible /
valiosa.]
A.17.2 Redundancias
A.17.2.1 Disponibilidad de instalaciones deprocesamiento de información: comprobar cómo se identifican y
satisfacen los requisitos de disponibilidad de los servicios de TIC. Verificar los acuerdos de resiliencia,
capacidad y rendimiento, incluidos el seguimiento y los ajustes (por ejemplo, equilibrio de carga dinámico).
Examine los registros de incidentesen busca de pistas sobre servicios, equipos, instalaciones, servidores,
aplicaciones, enlaces, funciones, organizaciones, etc. poco confiables. Compruebe que los controles clave de
seguridad de la información estén implementados y sean funcionales en los sitios de recuperación ante
desastres/reserva. Si los controles en los sitios de DR/reserva son menos estrictos que los de los sitios
primarios, ¿se están tratando adecuadamente los riesgos adicionales (por ejemplo, controles compensatorios
A.18. Conformidad
Introducción
El siguiente SGSI sistema de gestión la lista de comprobación de Esta lista de verificación de
auditoría comprende un conjunto genérico de pruebas de auditoría. auditoría NO está destinada a
Está estructurado de acuerdo con y refleja los requisitos de ISO / IEC auditorías de certificación. Los
27001 para todo SGSI sin tener en cuenta ninguna específico auditores de certificación deben
requisitos que una organización individual might have (por ejemplo, seguir sus procesos de auditoría
legal, regulador y las obligaciones contractuales relativas a formalmente documentados y
determinados riesgos de la información y procesos de seguridad, o acreditados, utilizando sus propias
controles). listas de verificación de auditoría y
Mientras que las auditorías de certificación del SGSI se centran pruebas de auditoría sobre la
estrictamente en la redacción explícita de la norma, estalista de medida en que el SGSI cumple con
verificación está destinada principalmente a guiar, o a ser adaptada los requisitos especificados en
y utilizada por los auditores internos competentes que realizan ISO / IEC 27001.
auditorías internas del SGSI. También se puede utilizar para
revisiones internas de la gestión del SGSI, incluida la precertificación.
evaluaciones para determinar siel SGSI está en condiciones de ser auditado formalmente. Dicho esto, las
auditorías internas y las revisiones de gestión en este sentido deberían ayudar a la organización a preparar y
finalizar la documentación necesaria que los auditores de certificación probablemente querrán revisar.
Las listas de verificación de Las extensas pruebas de auditoría que se sugieren a continuación en
auditoría interna pueden forma de preguntas y comprobaciones pretenden ser indicaciones o
modificarse aún más durante rem.inders de los principales aspectos que deben ser controlados por los
el curso de la auditoría si competentes, calificado y auditores de TI experimentados. Lo hacen no
salen a la luz áreas de cubre todos los aspectos de ISO/IEC 27001. No están destinados a ser
preocupación nuevas o no preguntados textualmente y simplemente marcados, ya sea en su
apreciadas anteriormente. totalidad o por partes. No sont adecuado para su uso por auditores sin
A diferencia de experiencia que trabajan sin supervisión.
las auditorías de Esta lista de verificación no está destinada a ser utilizada sin la debida
cumplimiento estricto, las consideración y modificación. Se prevé que los usuarios normalmente
auditorías internas pueden generarán listas de verificación personalizadas que reflejen el alcance y la
profundizar en cuestiones escala específicos del SGSI particular que se está auditando, y las pruebas
relacionadas que surgen a de auditoría que surjan, teniendo en cuenta los requisitos de seguridad de
medida que avanza la la información que ya son evidentes en esta etapa (como las leyes,
reglamentos y normas relevantes para la seguridad de la información
queahora se aplican a organizaciones similares en la industria).
Por último, las listas de verificación deben apoyar las prácticas normales de trabajo de los auditores, por
ejemplo, en un formato tabular con columnas adicionales para que el auditor registre notas y comentarios,
evaluación inicial (por ejemplo, . FODA/ PEST/PESTEL), referencias a evidencia de auditoría en el archivo,
métricas de madurez, etc. Una vez completada, la lista de verificación de auditoría vincula la evidencia de
auditoría y los hallazgos recopilados y analizados durante las fases de trabajo de campo y análisis hasta el
informe de auditoría.
Dado que las listas de verificación, los archivos, las notas y las pruebas de auditoría del SGSI
completados contienen información confidencial sobre el riesgo de la información y los arreglos de
seguridad de la organización, deben estar adecuadamente protegidos para garantizar su confidencialidad
Derechos de autor © ISO27k 42 | P a g e
e2017
Foro integridad.
ISO27k Toolkit SGSI auditoría directriz v2
B.5. Lídereship
B.5.2 Política
Revise el conjunto de políticas de seguridad de la información y Esta sección se refiere a los aspectos de
la documentación relacionada (p. ej.. SGSI misión declaración gobernanza : las políticas corporativas
y alcance). Compruebe que: deben ser impulsadas ydatadas por la
Explicitly apoya y permite los propósitos y objetivos gerencia. El contenido de las políticas
comerciales de la organización, en el contexto del riesgo de de riesgo y seguridad de la información
la información, la seguridad y los requisitos relacionados se especifica en la sección 5.1.1 de la
(por ejemplo, cumplimiento, protección, seguridad y norma ISO/IEC 27002.
continuidad del negocio);
Especificalos objetivos de seguridad y seguridad de la información de alto nivel, tanto internos como
externos, y afirma claramente el compromiso de la organización para satisfacerlos ;
Es lo suficientemente formal y explícito para defenderse en procedimientos legales o disciplinarios, pero
legible y pragmatic suficiente para ser útil en la práctica (aunque respaldado por procedimientos,
directrices, etc.). );
Apoya la mejora continua del SIEM, que refleja la
evolución de los riesgos de la información y la situación Las políticas, procedimientosetc.
empresarial, y madurez; individuos pueden ser propiedad y
autorizarse en los niveles inferiores, pero
Es aprobado, autorizado y / o ordenado como una suite
la estructura general necesita el liderazgo
coherente y razonablemente completa por la gerencia
y el mandato explícitos de la alta
dirección, por ejemplo. a través de una
Derechos de autor © ISO27k 45 | P a g e
Foro 2017 estrategia o política corporativa global
sobre riesgo y seguridad de la
ISO27k Toolkit SGSI auditoría directriz v2
"superior" (superior), por ejemplo. junta directiva, CEO,
Comité Ejecutivo o Comité de Seguridad;
B.6. Planificación
B.7. Apoyo
B.7.1 Recursos
Revisar los recursos asignados al SGSI en términos de presupuesto, mano de obra, etc., en relación con los
objetivos declarados de la organización para el SGSI y (cuando corresponda) en comparación con
organizaciones comparables (evaluación comparativa). ¿Está el SGSI adecuadamente financiado y dotado de
recursos en la práctica? ¿Son suficientes los fondos asignados por la administración para abordar los
problemas de seguridad de la información en un plazo razonable y con un nivel adecuado de calidad?
B.7.2 Competencia
Revisar las calificaciones, la experiencia y la capacitación de aquellos que participan específicamente en el
funcionamiento del SGSI, y las actividades generales de concientización sobre seguridad de la información
dirigidas a todos los empleados. ¿Se identifican y proporcionan explícitamente las competencias necesarias y
los requisitos de formación/sensibilización para los profesionales de la seguridad de la informacióny otras
B.7.3 Conciencia
Son políticas de seguridad de la información, etc. bien escrito y difundido adecuadamente a todas las partes
pertinentes? ¿Se requiere explícitamente a los destinatarios que los lean y cumplan? ¿Cómo confirma la
organización que todos han leído y aceptado cumplir con las políticas, por ejemplo? aceptación o
reconocimiento firmados; cuestionarios/pruebas periódicas para confirmar que los destinatarios
comprenden sus obligaciones, incluido su papel más amplio en la gestión de riesgos de la información y hacer
que el SGSI sea efectivo y beneficioso para la organización? ¿Cómo se abordan el cumplimiento y el
incumplimiento de las políticas, por ejemplo, los beneficios / recompensas para reforzar el cumplimiento y los
costos / sanciones por incumplimiento, a través de procedimientos disciplinarios, gestión de relaciones /
contractuales, etc.? ¿Cómo se comunican los cambios, por ejemplo, políticas nuevas o revisadas, funciones y
responsabilidades, riesgos de información (por ejemplo, amenazas novedosas) y controles de seguridad? ¿Es
la gerencia lo suficientemente comprometida y solidaria, por ejemplo? ¿Participan activamente los directivos
en actividades de sensibilización sobre el riesgo de la información y la seguridad, cursos de formación, etc.?
¿Son adecuados los planes, presupuestos y prioridades de formación y sensibilización?
B.7.4 Comunicación
¿Existe un plan de comunicación documentado que identifique a las audiencias internas y externas a las que
se debe realizar una comunicación adecuada y oportuna con respecto a todas las actividades y ocurrencias
relacionadas con la seguridad de la información, por ejemplo, empleados (necesidadde instrucciones sobre lo
que se espera de ellos, actualizaciones sobre políticas, capacitación en procedimientos, etc.) .);
terceros/proveedores (necesitan instrucciones claras sobre lo que se espera de ellos; y las autoridades
legales y reguladoras, además del organismo de certificación y otras partes interesadas (deben ser notificadas
en caso de incumplimientos o incidentes). ¿El plan de comunicación indica qué se debe comunicar, cuándo
(tiempo o frecuencia), por quién y por qué medios? ¿Existen pruebas que confirmen que las comunicaciones
previamenteplanificadas han tenido lugar y han sido eficaces?
B.8. Operación
B.10. Mejora