Empresa: PROCEDIMIENTO

PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE

SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

NOMBRE DE LA INSTITUCIÓN

DEPARTAMENTO DE SEGURIDAD DE LA INFORMACIÓN

PROCEDIMIENTO DE AUDITORIAS INTERNAS Y EXTERNAS DE

SEGURIDAD DE LA INFORMACIÓN

1. OBJETIVO

Realizar las auditorías internas y gestionar las auditorias externas de seguridad de la

información con el objetivo de verificar el SGSI es correcto y conforme con las
disposiciones planificadas por la norma ISO 27001:20XX y con los requisitos
establecidos por la institución.

2. ALCANCE

Se aplicarán las auditorias de acuerdo al SGSI:

- Auditoria de primera parte

- Auditoria de segunda parte
- Auditoria de tercera parte

Realizo: VoBo Autorizo:

Firma: Firma: Firma:

Nombre: Nombre: Nombre:

DNI: DNI: DNI:
Cargo: Cargo: Cargo:

1
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

3. REFERENCIAS

XXXXX

4. RESPONSABILIDADES

Los roles y responsabilidades, que aseguran y demuestran el liderazgo y compromiso

de la alta gerencia con el programa de seguridad institucional se definen en la
siguiente tabla:

CARGO RESPONSABILIDAD

CEO - Lidera el proceso de seguridad de la información de la organización.

Gerente - Establecer una cultura organizacional basada en la seguridad de la
Director información, promoviendo la participación activa de los empleados o
Ejecutivo del personal en los procesos de auditoría interna o externa.
- Garantizar la disponibilidad de recursos
- Garantizar las comunicaciones adecuadas para la transmisión efectiva
de la información.
- Asumir la responsabilidad final en la gestión de la seguridad de la
información en la organización, por lo que debe asumir la
responsabilidad final de los resultados de la auditoría interna o externa

CISO - Su función principal es garantizar que se implementen las políticas,

Oficial de procedimientos y controles necesarios para proteger la información de
Seguridad la organización. El Oficial de Seguridad también es responsable de
Responsable monitorear y evaluar la efectividad del SGSI y de identificar
del SGSI oportunidades de mejora.
- Solita las auditorías internas según las necesidades organizacionales.
- Recibir el Programa Anual de Auditorías de la Seguridad de la
Información para tramitar su aprobación.
- Firmar de enterado el Plan de Auditoría Interna de Seguridad de la
Información.
- Proporcionar los recursos necesarios para la correcta aplicación de las
Auditorías Internas de Seguridad de la Información.
- Revisar el análisis de la causa raíz y de la eficacia de las acciones
correctivas generadas como resultados de las Auditorías Internas de
Seguridad de la Información.

CFO Es responsable de la gestión financiera de la organización y debe

Director asegurarse de que se asignen recursos adecuados para la gestión de la

2
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

Financiero seguridad de la información. En el proceso de auditoría interna o externa,

el CFO debe proporcionar información relevante sobre la asignación de
recursos financieros y su efectividad para proteger la información

CTO Es responsable de la tecnología de la organización y debe asegurarse de

Director de que se implementen soluciones tecnológicas adecuadas para proteger la
Tecnología información de la organización. En el proceso de auditoría interna o
externa, el CTO debe proporcionar información relevante sobre las
soluciones tecnológicas implementadas y su efectividad para proteger la
información

COO Es responsable de la gestión de las operaciones diarias de la organización y

Director de debe asegurarse de que se implementen procedimientos adecuados para
Operaciones proteger la información. En el proceso de auditoría interna o externa, el
COO debe proporcionar información relevante sobre los procedimientos
implementados y su efectividad para proteger la información

Comité de - Conocer el Informe de la Auditoría Interna o externa de Seguridad de la

Seguridad de Información y darle seguimiento en las reuniones del Comité de
la Información Seguridad de la Información.
- Nombrar al responsable de la Gestión del Programa de Auditorías de
Seguridad de la Información.
- Aprobar el Programa Anual de Auditorías Seguridad de la Información.
- Analizar los resultados de las Auditorías Internas o externas de
Seguridad de la Información.

Responsable - Proponer las auditorías externas.

de la Gestión - Nombrar al Auditor Líder de cada Auditoría Interna de Seguridad de la
del Programa Información. Elaborar el Programa Anual de Auditorías Internas de
de Auditorías Seguridad de la Información y entregarlo al responsable del SGSI para
de Seguridad el trámite de su aprobación.
de la - Gestionar los recursos necesarios para cumplir con el Programa Anual
Información de Auditorías Internas de Seguridad de la Información.
- Determinar el alcance de cada Auditoría Interna de Seguridad de la
Información.
- Revisar y aprobar los informes de las auditorías.
- Distribuir los informes de auditoría al presidente del Comité de Gestión
de Seguridad de la Información, al responsable del SGSI, a los
responsables de los procesos auditados y a las partes interesadas.
- Determinar las auditorías de seguimiento necesarias.
- Mantener las evidencias de formación de los Auditores Internos de
Seguridad de la Información

3
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

Auditor Líder - Definir y firmar el Plan de Auditoría Interna de Seguridad de la

Información.
- Coordinar la Auditoría Interna de Seguridad de la Información que se
realice al SGSI, para que la misma se desarrolle en un marco objetivo e
imparcial, que permita evaluar su eficacia y encontrar áreas de mejora
institucional
- Coordinar las reuniones de apertura y cierre de la Auditoría Interna de
Seguridad de la Información.
- Interlocutor entre el Equipo Auditor y el Auditado.
-

Auditores - Cumplir con el Plan de Auditoría Interna de Seguridad de la

Internos de Información de manera ética.
Seguridad de - Desarrollar los conocimientos y habilidades necesarios para obtener los
la Información resultados esperados de las auditorías en las que participen.

Auditado Brindar todas las facilidades y registros requeridos por los Auditores y
tomar las acciones sin demoras injustificadas para eliminar las No
Conformidades detectadas, así como sus causas.

5. PROCEDIMIENTO

Se aplicarán las auditorias de acuerdo al SGSI:

 PLANEACIÓN

El responsable de la gestión de programas de auditorias de seguridad de la

información realiza el programa anual que será aprobado por el comité de
seguridad y el oficial de seguridad de la información.

 La importancia de los procesos a auditar.

 Las áreas a auditar.
 Los resultados de las auditorías previas.
 Cambios que afectan a la organización

 CRITERIOS DE AUDITORÍA
Los auditores internos se seguridad de la información deberán seguir los
lineamientos aprobados basados en:
 La norma ISO 27001:20xx
 Lineamientos técnicos y reglamentarios del SGSI aprobados
 El marco de referencia NIST

4
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

 CLASIFICACIÓN DE HALLAZGOS
 C: CUMPLE
 NC: NO CUMPLE
 OM: OPORTUNIDAD DE MEJORA
 N/A NO APLICA

 ALCANCE
La Auditoría Interna de Seguridad de la Información abarcará todos los niveles de la
estructura documental y los procesos del SGSI que determinen el responsable de la
Gestión del Programa de Auditorías de Seguridad de la Información, con base en
los resultados de las Auditorías de Seguridad de la Información previas y los
cambios en la organización o sus procesos.
La auditoría externa de seguridad de la información abarcará los requerimientos
institucionales de auditoría de segunda, para evaluar el desempeño de la
organización en relación a los requisitos y expectativas establecidos o tercera parte
para evaluar el desempeño de la organización en relación a la norma, regulación o
estándar aplicable.

 REUNIÓN DE APERTURA

El auditor líder con los diferentes integrantes, para las auditorías internas se
reunirán con las áreas a auditar, levantando un acta como constancia de la reunión
de apertura, con los siguientes puntos mínimos:

 Fecha y lugar de la Reunión de Apertura.

 Nombre, firma y cargo dentro del SGSI de todos los participantes en la Reunión de
Apertura.
 Nombre de los miembros del equipo auditor, incluidos en su caso, expertos
técnicos, guías y observadores.
 Objetivos, alcance y criterios de la auditoría.
 Plan de auditoría.
 Confidencialidad y seguridad de la información que se obtenga durante la auditoría.

En el caso de las auditorías externas dependerá de la gestión estratégica del CEO de la

organización, cumpliendo con el acta como constancia de la reunión de apertura.

 DESARROLLO DE LA AUDITORÍA

5
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

La auditoría se guiará con base a la lista de verificación de auditoría elaborada previamente

por el Equipo Auditor y de formato libre. Esta lista se desarrollará a base de preguntas al
auditado respecto al punto del SGSI que se esté auditando

 HERRAMIENTAS DE AUDITORÍA

En el siguiente cuadro se detalla las herramientas de auditoría:

TÉCNICA PROCEDIMIENTO

Técnica de Obtener los datos básicos que le permiten al auditor tener un panorama
estudio general de la unidad, programa o actividad sujeta a examen. Los aspectos
general que deben contemplarse son: Estructura orgánica, Fundamento legal,
Objetivo y metas, Políticas, Sistemas y Procedimientos.

Técnica de Separar las operaciones o situaciones a examinar en los elementos o partes

análisis que la integran, con el objeto de estudiar cada uno de sus componentes y
conocer, con una mayor claridad y comprensión, los aspectos sujetos a
revisión

Técnica de Examen de hechos y circunstancias, principalmente los relacionados con la

observación forma de realización de las operaciones sujetas a revisión

Técnica de Obtener constancia escrita sobre la autenticidad de las transacciones,

confirmación operaciones, hechos y circunstancias del aspecto auditado, a través de
fuentes independientes que lo conocen y tienen relación con ellos

Técnica de Efectuar un examen selectivo conforme a los objetivos y alcances que se han
revisión propuesto, dependiendo del volumen de operaciones y transacciones que
selectiva maneja el área a revisar.

Técnica de Verificar la exactitud de los datos numéricos o cálculos realizados, con el

cálculo. objeto de asegurarse de que las operaciones son efectuadas correctamente.
Es necesario puntualizar que esta técnica solamente prueba la exactitud
aritmética, por lo que se requieren técnicas adicionales que determinen la
validez de las cifras sujetas a examen

Técnicas de Realizar el examen físico y visual de bienes materiales, tales como activos,
inspección obras, documentos, entre otras, para constar su existencia y autenticidad

6
 Empresa: PROCEDIMIENTO
PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
SEGURIDAD DE LA INFORMACIÓN
Versión Pág.
Aprobado por: Revisado por: Elaborado por:

Los auditores adicionales, ente podrán aplicar otras técnicas previa aceptación del
auditor líder.

 AUDITORES
El Auditor Líder será elegido del grupo de auditores y deberá tener como experiencia un
mínimo de XX horas en auditorías internas
 INFORME DE AUDITORÍA
Las No Conformidades se comunicarán verbalmente al área auditada durante la Reunión de
Cierre y, posteriormente por escrito a través del Informe de la Auditoría Interna de
Seguridad de la Información para las acciones correctivas.
 REUNIÓN DE CIERRE
Al término de la auditoría interna se le comunicará verbalmente al auditado las No
Conformidades encontradas y las observaciones levantadas en una Reunión de Cierre para
las acciones correctivas, para que se incluya en el informe de Auditoría.
 SEGUIMIENTO DE LA AUDITORIA
El responsable del SGSI será el responsable de darle seguimiento a las No Conformidades
encontradas en las fechas acordadas durante la Reunión de Cierre e incluidas en el Informe
de la Auditoría Interna de Seguridad de la Información

6. ACTUALIZACIÓN DEL DOCUMENTO

Este documento ha sido actualizado respecto a su versión anterior:

APARTADO MOTIVO DE ACTUALIZACION FECHA

Objetivos

Alcance

Referencias

Responsabilidades

Procedimiento