ISO/IEC 27006 guía

para la certificación del

SGSI
SALCEDO VICTORIO Michel Alexis
 #ISO27006 se trata de una guía para los organismos de

certificación en los procesos formales que hay que seguir

al auditar #SGSI.
SEGURIDAD
de la

INFORMACION
 Elegimos la más aceptada a nivel mundial

Norma ISO 27001/2 y sus relacionadas

Gestión de Seguridad

Normas de Gestión ISO

ISO9001 –Calidad ISO14001 – Ambiental ISO27002 – Seguridad de la Información -

NORMALIZACION

Mejores Prácticas: ISO 27001 – CERTIFICACION de Seguridad de la Información

 Norma ISO 27001/2 Seguridad de la Información

Está organizada en capítulos en los que se tratan los distintos

criterios a ser tenidos en cuenta en cada tema para llevar

adelante una correcta:

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Alcance

● Recomendaciones para la gestión de la seguridad de la información

● Base común para el desarrollo de estándares de seguridad

 ISO/IEC 27006: ACREDITACIÓN DE ENTIDADES

Publicada en 2011. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información

ISO 27006 tiene como título oficial «Tecnología de la información Técnicas de seguridad Requisitos para los
organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad», se
compone de 10 capítulos y 4 anexos.

El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que
hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el
certificado emitido de acuerdo a ISO 27001 es válido.
 ISO-27006 está pensada para apoyar la acreditación de organismos de
certificación que ofrecen la certificación del Sistema de Gestión de
Seguridad de la Información. Se encarga de especificar los requisitos y
suministrar una guía para la auditoría y la certificación del sistema.

Cualquier organización certificada en ISO27001 debe cumplir también con

los requisitos de la norma ISO27006.
 El proceso de certificación consiste en auditar el SGSI para el
cumplimiento de ISO 27001. Los auditores de certificación solo tienen
interés pasajero en los controles reales de seguridad de información que
están siendo administrados por el sistema de gestión. Se supone que
cualquier empresa con una queja del SGSI es, ha de gestionar sus riesgos
de seguridad de información con diligencia.
ISO 27006: 2015 establece estándares para la demostración de la competencia de los auditores del
SGSI. El SGSI de auditoría del organismo de certificación es necesario para verificar que cada
auditor del equipo de auditoría tenga conocimiento de:

● Monitoreo, medición, análisis y evaluación del SGSI,

● Seguridad de información,
● Sistemas de gestión,
● Principios de auditoría, y
● Conocimiento técnico de los sistemas a auditar.
Por lo
tanto
 Tecnología de la información - Técnicas de seguridad - Requisitos
para los organismos de auditoría y certificación de los sistemas de
sistemas de gestión de la seguridad de la información

Ámbito de aplicación
Esta Norma Internacional especifica los requisitos y proporciona orientación para los organismos que proporcionan la
auditoría y certificación de un sistema de gestión de la seguridad de la información (SGSI), además de los requisitos
contenidos
ISO/IEC 17021 e ISO/IEC 27001. Su objetivo principal es apoyar la acreditación de los organismos de certificación
de los organismos de certificación que proporcionan la certificación del SGSI.

Los requisitos contenidos en esta Norma Internacional deben ser demostrados en términos de competencia y
fiabilidad por parte de cualquier organismo que proporcione la certificación del SGSI, y la orientación contenida en
esta Norma Internacional
La orientación contenida en esta Norma Internacional proporciona una interpretación adicional de estos requisitos
para cualquier organismo que proporcione la certificación del SGSI.