Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO27k Guideline On ISMS Audit V2.en - Es
ISO27k Guideline On ISMS Audit V2.en - Es
Contenido
1. Introducción 5
2. Alcance y propósito de esta guía 5
3. referencias 5
4. Términos y definiciones 6
5. Principios de la auditoría 7
6. gestión de auditoría 8
6.1 La gestión del programa de auditoría ISMS 8
6.2 Administración de una auditoría ISMS 8
7. El proceso de auditoría 9
7.1 Evaluación del alcance y encuesta pre-auditoría 9
7.2 Auditoría de planificación y preparación 10
trabajo de campo 7.3 Auditoría 10
análisis 7.4 Auditoría 11
7,5 informes de auditoría 11
cierre 7.6 Auditoría 13
8. Competencia y evaluación de auditores 13
competencia 8.1 Auditor 13
8.2 Demostración de la competencia del auditor 14
9. Control de documentos 15
9.1 Autores 15
9.2 Historia 15
9.3 Evaluación 15
9.4 Derechos de autor 15
1. Introducción
Esta directriz de auditoría del Sistema de Gestión de Seguridad es mantenida por los miembros de la Foro
ISO27k a ISO27001security.com, Una comunidad internacional de los profesionales que están utilizando
activamente la norma ISO / IEC 27000-familia de normas de SGSI conocidos coloquialmente como
"ISO27k".
Escribimos este inicialmente en 2008 para contribuir al desarrollo de la norma ISO / IEC 27007,
proporcionando lo que nosotros, como ejecutores de ISMS experimentados y los auditores de TI / ISMS,
que se cree que el contenido de mérito. Un objetivo secundario era proporcionar una orientación
pragmática y útil para quienes participan en la auditoría SGSI.
Desde entonces, la norma ISO / IEC 27007 ha sido publicada. Otras normas ISO27k se han revisado, así, por
lo que la guía se actualizó a fondo en 2017.
El cuerpo principal de esta guía se refiere al propósito y el proceso de auditoría. Apéndice A es una lista de
control (un conjunto genérico de las pruebas de auditoría) para auditar los controles de seguridad de la
información siendo gestionado por el SGSI. Apéndice B es una lista de verificación para la auditoría del
sistema de gestión propio.
3. referencias
Por favor refiérase a:
ISO / IEC 27000: 2016Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de información - Información general y vocabulario. Esta norma libre proporciona una visión
general de ISO27k y define formalmente muchos términos técnicos utilizados en las normas.
ISO / IEC 27001: 2013 Tecnología de la información - Técnicas de seguridad - requisitos del sistema de
gestión de seguridad de la información. Esta es la especificación formal de un SGSI contra la cual las
organizaciones pueden ser certificados compatible. Sección 6 introduce la necesidad de 'SGSI
Auditorías internas' y establece brevemente los principales requisitos para los procedimientos de
auditoría. Sección 7 también identifica la necesidad de revisiones periódicas de gestión (al menos
anuales) del SGSI. Aparte de los controles enumerados en el anexo A, estos son requisitos obligatorios
para las organizaciones certificadas. Incluso si la organización implementa un conjunto alternativo de
4. Términos y definiciones
La mayoría de ISMS relacionados con los términos utilizados en esta guía y en las normas relacionadas se
definen en la norma ISO / IEC 27000 e ISO 19011. específico de TI y ISMS se definen los términos
relacionados con la auditoría aquí para mayor claridad, ya que se interpretan y se utilizan en esta guía:
5. Principios de la auditoría
ISO 19011 sección 4 cubre los principios de la auditoría en general,Laincluyendo importantes
independencia principios
es tanto sobre el
genéricos de auditoría, por ejemplo, una evaluación independiente deestado
los criterios
del auditor de la mentede
acordados, además
los principios más específicos dirigidos a las auditorías de sistemascomode gestión.
las En relaciones
todos los asuntos
de
relacionados con la auditoría, el auditor debe ser independiente tanto en actitud
dependencia: como en apariencia.
objetivo,La
función de auditoría o el equipo deben ser independientes de la zona opensamiento
actividad que está
racional, revisados
siendo crítico
para permitir llevar a cabo el objetivo de la asignación de auditoría. permite al auditor cuenta de las
cosas que otros no, o ignoran.
6. gestión de auditoría
7. El proceso de auditoría
Mientras que los nombres y datos de fase varían, las tareas de auditoría típicamente siguen una secuencia
lógica a lo largo de estas líneas:
9. Control de documentos
9.1 Autores
Los siguientes miembros de la Foro ISO27kactualiza esta directriz en 2017: Bhushan Kaluvakolan; Richard
Regalado;Gary Hinson y Pratibha Agrawal.
Las siguientes personas contribuyeron a la versión original de 2012 de la guía: Alchap; Javier Cao
Avellaneda; Anton Aylward; Pritam Bankar; Benítez Jesús; Lee Evans; Gary Hinson; Khawaja Faisal Javed;
Lakshminarayanan; ; Rocky Lam; Prasad Pendse; Renato Aquilino Pujol; Bala Ramanan; Marappan Ramiah;
Richard Regalado; Mninikhaya Qwabaza (Khaya); Kim Sassaman; Mooney Sherman; John Sur; Jasmina
Trajkovski; Rob Whitcher y otros.
9.2 Historia
de marzo de 2008 - Primera versión de la guía presentada al comité de la ISO / IEC JTC 1 / SC27 a través de
Normas de Nueva Zelanda, y publicado como parte de los libres Toolkit ISO27k.
Julio-Agosto 2017 - Todo el documento actualizado, por primera vez por un esfuerzo de colaboración en
equipo a través de Google Docs y luego finalizó en MS Word, y reeditado en el Toolkit ISO27k.
9.3 Evaluación
Comentarios, preguntas y (especialmente!) Sugerencias de mejora son bienvenidos, ya sea a través de la
Foro ISO27k o directamente a Gary Hinson (Gary@isect.com).
Introducción
La siguiente lista de pruebas de auditoría es genérico. Refleja y se refiere principalmente a los consejos de
la norma ISO / IEC 27002 en los controles de seguridad de la información sin tener en cuenta los requisitos
de control específicos que una organización individual puede tener en relación con sus riesgos de
información identificadas a través de los procesos de evaluación y gestión del riesgo.
Esta es una guía genérica para ayudar a revisar los controles de seguridad
Hemos de la organización,modificado
sobre todo
contra las recomendaciones de la norma ISO / IEC 27001 Anexodeliberadamente,
A, ISO / IEC 27002 extendida
y otras normas o
ISO27k. No puede proporcionar una guía específica sobre los riesgos y los controles aplicables
elaborado con el asesoramiento en a cada
situación en particular y por lo tanto debe ser personalizada e interpretada
la norma ISOpor/ los
IEC auditores de TI con
27002 en diversas
experiencia en función del contexto. Por ejemplo, el análisis de riesgo
áreas, debasada
la organización puede yhaber
en el trabajo la
determinado que ciertos objetivos de control de las normas no son auditoría
aplicablesde y por
experiencia profesionalser
lo tanto puede no
necesaria los controles correspondientes, mientras que en otras áreas
conde los en
SGSI objetivos
diversasdeorganizaciones
control pueden
ser más rigurosa que se sugiere en la norma y controles adicionales pueden ser
e industrias querequerido.
toman enElserio
planlade
tratamiento de riesgos y Declaración de aplicabilidad deben proporcionar más detalles sobre
seguridad de la información esto.
Las pruebas de auditoría indicados a continuación son sólo avisos (pruebas de auditoría
o recordatorios de por ejemplo,
los principales
aspectos que competentes, cualificados y experimentados auditoresque de TI hemos
se suele incorporado
comprobar. Noencubren
la
todos los aspectos de riesgo de la información, seguridad y áreas relacionadas. Ellos no están destinados a
ser preguntado en forma literal o facturado fuera poco a poco. No son adecuados para su uso por parte de
auditores experimentados que trabajan sin supervisión.
La lista de verificación no está destinado a ser utilizado sin la debida consideración y modificación. ISMS
auditores normalmente generan listas de control personalizados que reflejan el alcance y la escala
específicos del ISMS particulares objeto de la auditoría, teniendo en cuenta los requisitos de seguridad de
la información que ya son evidentes en esta etapa (por ejemplo, seguridad de la información pertinentes
leyes, reglamentos y normas que se sabe que se aplican a organizaciones similares en la industria).
Además, la lista de control de auditoría puede ser modificada durante el transcurso de la auditoría si las
áreas previamente Underappreciated de preocupación salen a la luz. Por último, la lista debería reflejar las
prácticas normales de trabajo de los auditores, por ejemplo, columnas de notas de auditoría, las
referencias a la evidencia de auditoría en el archivo, FODA / plagas análisis de los resultados, etc.
Desde ISMS completado auditoría listas de control, archivos, notas y pruebas contienen información
sensible relativa a las disposiciones de riesgo de la información y seguridad de la organización, deben ser
asegurados adecuadamente para asegurar su confidencialidad e integridad.
A.10. Criptografía
Equipo A.11.2
A.11.2.1 Equipo localización y protección:es TIC y el equipo relacionado se encuentra en áreas protegidas
de manera adecuada? Son pantallas de ordenador, impresoras y teclados situados o protegidas para evitar
accesos no autorizados? Compruebe los controles para minimizar el riesgo de amenazas físicas y
ambientales, tales como:
Inundación:instalaciones adecuadamente situadas para minimizar el potencial de inundación (por
ejemplo, por encima de la tabla de agua, no adyacente a los tanques de agua, no hay tuberías de agua
de sobrecarga etc.). Cuando sea apropiado, la protección adicional / secundario instalado y
mantenimiento realizado membranas por ejemplo, a prueba de agua, bandejas de goteo bajo
A.18. Conformidad
Introducción
La siguiente lista ISMS de auditoría del sistema de gestión comprendeEsta un conjunto
lista de genérico de auditoría
control de pruebas de
auditoría. Está estructurado en línea con y refleja los requisitos de la norma
no está ISO / destinado
IEC 27001 para
paratodoslaslos
SGSI sin tener en cuenta los requisitos específicos que una organización auditoríasindividual
de podría tener (por
certificación.
ejemplo, obligaciones legales, reglamentarios y contractuales relativas en particular
auditores los procesos
de certificación estánde
seguridad riesgos de la información y, actividades o controles). obligados a seguir sus procesos de
auditoría en un textoformalmente
Mientras que las auditorías de certificación del SGSI se centran exclusivamente expreso de la
norma, esta lista está destinada principalmente para guiar, o para documentados
ser adaptado yy utilizado
acreditados,
por los
utilizando
auditores internos competentes, realice las auditorías internas del SGSI. su sepropio
También listas para
puede utilizar de
exámenes de la gestión interna de los ISMS incluyendo las evaluaciones verificacióndey pruebas de auditoría
pre-certificación para
en relación
determinar si el SGSI está en un estado apto para ser auditado formalmente. con esto,
Dicho el grado en que el y
las auditorías
revisiones internas de gestión a lo largo de estas líneas deben ayudar ISMS acumple con los a requisitos
la organización preparar y
especificados
finalizar la documentación necesaria que los auditores de certificación en que
es probable la norma
deseeISO / IEC
revisar.
Laslistas
extensas pruebas
de control de de auditoría se sugieren a continuación en forma de preguntas y cheques están
auditoría
concebidos
interna se como
pueden avisos o recordatorios de los aspectos principales que deben controlarse por
modificar
competentes,
adicionalmente durante experimentados
cualificados y el auditores de TI. No cubren todos los aspectos de la norma ISO
/ IEC
curso27001.
de laNoauditoría
se pretende que se le pregunte pie de la letra y sencillamente con-off, ya sea en su
si las
totalidad o por partes.
áreas nuevas No son adecuados para su uso por parte de auditores experimentados que trabajan
o previamente
sinnosupervisión.
apreciadas de
preocupación
Esta lista no estásalen a la luz.a Aser utilizado sin la debida consideración y modificación. Se prevé que los
destinado
diferencia
usuarios de un se
normalmente estricto
generarán listas de control personalizados que reflejan el alcance y la escala
cumplimiento de
específicos del ISMS particulares las objeto de la auditoría, y las pruebas de auditoría que surjan, teniendo en
auditorías,
cuenta auditoríasde
los requisitos internas
seguridad de la información que ya son evidentes en esta etapa (como la
pueden profundizar
información en los
relevante para la seguridad leyes, reglamentos y normas que se sabe que se aplican a
temas relacionados que
organizaciones similares en la industria).
surgen a medida que avanza
Por último, las listas de comprobación deben apoyar las prácticas normales de trabajo de los auditores, por
de auditoría, dentro de los
ejemplo en un formato de tabla con columnas adicionales para el auditor para grabar notas y comentarios,
la evaluación inicial (por ejemplo FODA / insectos / PESTEL), las referencias a la evidencia de auditoría en el
archivo, métricas de madurez etc. Una vez completado, la lista de comprobación de auditoría une la
evidencia de auditoría y hallazgos recopilada y analizada durante las fases de trabajo de campo y análisis a
través de al informe de auditoría.
Desde ISMS completado auditoría listas de control, archivos, notas y pruebas contienen información
sensible relativa a las disposiciones de riesgo de la información y seguridad de la organización, deben ser
asegurados adecuadamente para asegurar su confidencialidad e integridad.
B.5. Liderazgo
política B.5.2
Revisar el conjunto de la política de seguridad de la informaciónEstay sección
la documentación
se refiere a relacionada
los aspectos (por
de
ejemplo, declaración de la misión y el alcance del SGSI). Compruebe que:
gobierno corporativo: las políticas
Explícitamente apoya y permite a los propósitos y objetivos de negocio
deben de la organización,
ser impulsados y el mandatoendeel
contexto de riesgos de la información, la seguridad y los la requisitos relacionados
dirección. El contenido(por
de ejemplo,
la políticael
cumplimiento, la protección, la seguridad y la continuidad delde
negocio);
riesgos de la información y de
Especifica los objetivos de riesgo información de alto nivel seguridad se especifica
y de seguridad, tantoeninterna
la norma
como
ISO / IEC 27002 sección 5.1.1.
externamente impulsada o impuesta, y afirma claramente el compromiso de la organización para
satisfacerlas;
Es suficientemente formal y explícita a ponerse de pie en los procesos judiciales o disciplinarias, sin
embargo, fácil de leer y lo suficientemente pragmático como para ser útiles en la práctica (aunque el
apoyo de procedimientos, guías, etc.);
Es compatible con la mejora continua del SGSI, lo que refleja la evolución de los riesgos de la
información y de la situación del negocio, y la madurez; Las pólizas individuales, procedimientos,
Está aprobado, autorizado y / o mandato como un conjunto etc., puedeny razonablemente
coherente ser autorizados y dede
completo
“arriba” (alto) por ejemplo la gestión de planchar, CEO, Comité Ejecutivo o el Comité de Seguridad; la
propiedad en los niveles inferiores, pero
estructura general necesita un liderazgo
Se comunica ampliamente dentro de la organización, incluyendo cada
explícito de unodirección
la alta dentro dely elámbito de y
mandato
directamente implicados en el SGSI; por ejemplo a través de una estrategia
general de empresa o de la política de
riesgos de la información y la seguridad.
Copyright © Foro ISO27k, 2017 47 |P á g i n a
Toolkit ISO27k
Es decir, en su caso (posiblemente bajo contratos de confidencialidad o en forma de resumen) a
disposición de otras partes interesadas.
B.6. Planificación
B.7. Apoyo
Recursos B.7.1
Revisar los recursos asignados a los SGSI en términos de presupuesto, mano de obra, etc., en relación con
los objetivos declarados de la organización para el SGSI y (en su caso) en comparación con otras
organizaciones similares (benchmarking). Es el ISMS dotación y los recursos de manera adecuada en la
práctica? Son suficientes fondos asignados por la administración para abordar las cuestiones de seguridad
de información en un tiempo razonable y con un adecuado nivel de calidad?
B.7.2 Competencia
Revisar las calificaciones, experiencia y formación de los involucrados específicamente en el
funcionamiento del SGSI, y las actividades de información general de sensibilización dirigidas a todos los
empleados de seguridad. Se competencias necesarias y los requisitos de formación / sensibilización para
los profesionales de la seguridad de la información y otros con funciones y responsabilidades específicas
identificadas y explícitamente? Son los presupuestos de formación / sensibilización adecuada para
financiar las actividades de formación y sensibilización asociados? Examinar los informes de evaluación de
conciencia B.7.3
Son las políticas de seguridad de información, etc. bien escritos y difundidos adecuadamente a todas las
partes interesadas? Son los destinatarios requieren explícitamente a leer y cumplir con ellos? ¿De qué
manera la organización confirman que todos han hecho leído y acepto cumplir con las políticas por
ejemplo, aceptación o reconocimiento firmado; Pruebas / pruebas periódicas para confirmar que los
destinatarios comprendan sus obligaciones, incluyendo su papel más amplio en la gestión de riesgos de la
información y hacer el ISMS eficaz y beneficioso para la organización? ¿Cómo se cumplimiento de la
política y el incumplimiento por ejemplo, dirigidas beneficios / recompensas para reforzar el cumplimiento
y costos / sanciones en caso de incumplimiento, a través de procedimientos de disciplina, relación /
gestión contractual, etc.? ¿Cómo se comunican los cambios por ejemplo, políticas, funciones y
responsabilidades nuevas o revisadas, riesgos de información (por ejemplo, nuevas amenazas) y controles
de seguridad? Se gestión suficientemente comprometida y solidaria por ejemplo, hacer los
administradores participan activamente en riesgo de la información y las actividades de sensibilización de
seguridad, cursos de formación, etc.? Son la formación y planes de sensibilización, los presupuestos y las
prioridades adecuadas?
Comunicación B.7.4
¿Hay un plan de comunicación documentado la identificación de los públicos internos y externos a los
cuales la comunicación apropiada y oportuna debe ser hecha con respecto a todas las actividades y
sucesos relacionados con la seguridad de la información, por ejemplo los empleados (necesita
instrucciones claras de lo que se espera de ellos, cambios en las políticas, la formación en procedimientos,
etc.); terceros / proveedores (necesitan instrucciones claras sobre lo que se espera de ellos, y las
autoridades legales y reglamentarios, además de organismo de certificación y otras partes interesadas
(necesitan ser notificado en caso de incumplimiento o incidentes) ¿Tiene que ser comunicada al estado
plan de comunicación lo es. , cuando (tiempo o frecuencia), por quién y con qué medios? ¿hay pruebas que
confirman que las comunicaciones previamente planificadas han tenido lugar y han sido eficaces?
B.8. Operación
B.10. Mejora