Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NOMBRE DE LA INSTITUCIÓN
1. OBJETIVO
2. ALCANCE
1
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
3. REFERENCIAS
XXXXX
4. RESPONSABILIDADES
CARGO RESPONSABILIDAD
2
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
3
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
Auditado Brindar todas las facilidades y registros requeridos por los Auditores y
tomar las acciones sin demoras injustificadas para eliminar las No
Conformidades detectadas, así como sus causas.
5. PROCEDIMIENTO
PLANEACIÓN
CRITERIOS DE AUDITORÍA
Los auditores internos se seguridad de la información deberán seguir los
lineamientos aprobados basados en:
La norma ISO 27001:20xx
Lineamientos técnicos y reglamentarios del SGSI aprobados
El marco de referencia NIST
4
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
CLASIFICACIÓN DE HALLAZGOS
C: CUMPLE
NC: NO CUMPLE
OM: OPORTUNIDAD DE MEJORA
N/A NO APLICA
ALCANCE
La Auditoría Interna de Seguridad de la Información abarcará todos los niveles de la
estructura documental y los procesos del SGSI que determinen el responsable de la
Gestión del Programa de Auditorías de Seguridad de la Información, con base en
los resultados de las Auditorías de Seguridad de la Información previas y los
cambios en la organización o sus procesos.
La auditoría externa de seguridad de la información abarcará los requerimientos
institucionales de auditoría de segunda, para evaluar el desempeño de la
organización en relación a los requisitos y expectativas establecidos o tercera parte
para evaluar el desempeño de la organización en relación a la norma, regulación o
estándar aplicable.
REUNIÓN DE APERTURA
El auditor líder con los diferentes integrantes, para las auditorías internas se
reunirán con las áreas a auditar, levantando un acta como constancia de la reunión
de apertura, con los siguientes puntos mínimos:
DESARROLLO DE LA AUDITORÍA
5
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
HERRAMIENTAS DE AUDITORÍA
TÉCNICA PROCEDIMIENTO
Técnica de Obtener los datos básicos que le permiten al auditor tener un panorama
estudio general de la unidad, programa o actividad sujeta a examen. Los aspectos
general que deben contemplarse son: Estructura orgánica, Fundamento legal,
Objetivo y metas, Políticas, Sistemas y Procedimientos.
Técnica de Efectuar un examen selectivo conforme a los objetivos y alcances que se han
revisión propuesto, dependiendo del volumen de operaciones y transacciones que
selectiva maneja el área a revisar.
Técnicas de Realizar el examen físico y visual de bienes materiales, tales como activos,
inspección obras, documentos, entre otras, para constar su existencia y autenticidad
6
Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:
Los auditores adicionales, ente podrán aplicar otras técnicas previa aceptación del
auditor líder.
AUDITORES
El Auditor Líder será elegido del grupo de auditores y deberá tener como experiencia un
mínimo de XX horas en auditorías internas
INFORME DE AUDITORÍA
Las No Conformidades se comunicarán verbalmente al área auditada durante la Reunión de
Cierre y, posteriormente por escrito a través del Informe de la Auditoría Interna de
Seguridad de la Información para las acciones correctivas.
REUNIÓN DE CIERRE
Al término de la auditoría interna se le comunicará verbalmente al auditado las No
Conformidades encontradas y las observaciones levantadas en una Reunión de Cierre para
las acciones correctivas, para que se incluya en el informe de Auditoría.
SEGUIMIENTO DE LA AUDITORIA
El responsable del SGSI será el responsable de darle seguimiento a las No Conformidades
encontradas en las fechas acordadas durante la Reunión de Cierre e incluidas en el Informe
de la Auditoría Interna de Seguridad de la Información
Objetivos
Alcance
Referencias
Responsabilidades
Procedimiento