Académique Documents
Professionnel Documents
Culture Documents
AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013
Accreditation Standards
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems.
© SGS SA 2012 ALL RIGHTS RESERVED 4
ISO 27001:2013 – ISO 27001:2005
DEFINICIONES
TÍTULOS IDÉNTICOS TEXTOS Y TÉRMINOS
PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS
• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
usando los mismos textos
• Para cada norma particular • Para cada norma podrán
(texto estándar – anexo
pueden adicionarse establecerse definiciones
SL).
subcapítulos y adicionales pero
subcláusulas. • En todas las normas se únicamente para términos
utilizarán términos iguales técnicos de la especialidad.
con significados iguales.
SGSI
Confidencialidad Disponibilidad
4. Contexto de la
Organización
A5 Política de
Seguridad A6 Organización
de la Seguridad de
A11 Seguridad la información
Física y del
Entorno
A7 Recursos
Humanos
A10 Criptografía
A12 A13
Operaciones Comunicacione
A18
Cumplimiento s
A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento
A15
A16 Incidentes Proveedores
0.1 GENERALIDADES
Esta norma internacional ha sido preparada para proveer un modelo
para:
• Establecer, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar un Sistema de Gestión de la Seguridad de la
información SGSI.
CONTEXTO DE LA ORGANIZACIÓN
LIDERAZGO
La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI así:
a) Asegurado que se establece la política y los objetivos del SGSI.
b) Asegurando la integración de los requisitos del SGSI con los procesos de negocio
c) Asegurando la disponibilidad de los recursos necesarios
d) Comunicando la importancia de una gestión eficaz y de conformidad con los requisitos
del SGSI.
e) Asegurando que el SGSI logre los resultados previstos.
f) Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
g) Promoviendo mejora continúa.
h) Apoyando otros roles pertinentes de la dirección para demostrar liderazgo aplicado a sus
áreas de responsabilidad.
5.2 POLÍTICA
La Alta Dirección debe establecer una política que:
a) Sea adecuada al propósito de la organización.
b) Incluya objetivos de Seguridad de la Información o proporcione el marco para
el establecimiento de los mismos.
c) Incluya un compromiso de cumplir los requisitos aplicables relacionados con
la Seguridad.
d) Incluya compromiso de Mejora Continua
La política debe:
e) Estar como información documentada.
f) Comunicarse dentro de la empresa.
g) Estar disponible para las partes interesadas, según sea apropiado.
© SGS SA 2012 ALL RIGHTS RESERVED 21
5. LIDERAZGO
PLANIFICACIÓN
6.2
6.1 OBJETIVOS DE
ACCIONES PARA
SEGURIDAD DE LA
TRATAR RIESGOS Y
INFORMACIÓN Y PLANES
OPORTUNIDADES
PARA LOGRARLOS
6.1.1
Generalidades
6.1.2
Valoración de
riesgos de la SI
6.1.3
Tratamiento de
Riesgos de la SI
a) Lo que se va a hacer
b) Que recursos se requerirán
c) Quien será responsable
d) Cuándo se finalizará
e) Cómo se evaluarán los resultados
SOPORTE
7.5.1
Generalidades
7.5.2 Creación y
Actualización
7.5.3 Control de la
Información
Documentada
7.2 COMPETENCIA
Se debe:
a) Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeño de la seguridad de la información.
b) Asegurar que las personas sean competentes, basándose en: educación,
formación o experiencia adecuadas.
c) Tomar acciones para adquirir la competencia necesario y evaluar su eficacia
(cuando sea aplicable)
d) Conservar la información documentada apropiada como evidencia.
7.4 COMUNICACIÓN
Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;
a) El contenido de la comunicación.
b) Cuando comunicar.
c) A quién comunicar.
d) Quién debe comunicar
e) Los procesos para llevar a cabo la comunicación.
© SGS SA 2012 ALL RIGHTS RESERVED 32
7. SOPORTE
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 Generalidades
Cuando se crea o actualiza información documentada, se debe asegurar que sea apropiado:
a) La identificación y descripción (título, fecha, autor o número de referencia)
b) El formato (idioma, versión de Software, gráficos) y sus medios de soporte (papel,
electrónico).
c) La revisión y aprobación con respecto a la idoneidad y adecuación.
OPERACIÓN
Se debe determinar:
a) A qué se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
b) Los métodos de seguimiento, medición, análisis y evaluación, para asegurar resultados válidos.
c) Cuándo se deben llevar a cabo el seguimiento y la medición.
d) Quien debe llevar a cabo el seguimiento y la medición.
e) Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
f) Quién debe analizar y evaluar estos resultados.
Se debe conservar información documentada apropiada como evidencia de los resultados del
monitoreo y la medición.
a) Es conforme con:
1. Los propios requisitos de la organización para el SGSI
2. Los requisitos de esta norma
b) Esta implementado y mantenido eficazmente
MEJORA
10.1 10.2
NO MEJORA CONTINUA
CONFORMIDADES
Y ACCIONES
CORRECTIVAS
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
Se debe conservar información documentada, como evidencia de:
f) La naturaleza de las no conformidades y cualquier acción posterior tomada
g) Los resultados de cualquier acción correctiva
Objetivo:
Brindar orientación y soporte, por pate de la dirección, para la seguridad
de la información de acuerdo con los requisitos del negocio y con las
leyes y reglamentos pertinentes.
Controles:
Políticas para la seguridad de la información
Objetivo:
Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro
de la organización.
Controles:
Roles y responsabilidades para la seguridad de la información
Separación de deberes
Contacto con autoridades
Contacto con grupos de interés especial
Seguridad de la información en la gestión de proyectos
© SGS SA 2012 ALL RIGHTS RESERVED 49
A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A.6.2. Dispositivos Móviles y Teletrabajo.
Objetivo:
Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
Controles:
Políticas para dispositivos móviles
Teletrabajo
Objetivo:
Asegurar que los empleados y contratistas comprenden sus
responsabilidades y son idóneos en los roles para los que se
consideran.
Controles:
Selección
Objetivo:
Asegurarse de que los empleados y contratistas tomen conciencia de
sus responsabilidades de seguridad de la información y las cumplan.
Controles:
Responsabilidad de la dirección
Proceso Disciplinario
© SGS SA 2012 ALL RIGHTS RESERVED 52
A.7. SEGURIDAD DE LOS
RECURSOS HUMANOS
Objetivo:
Proteger los intereses de la organización como parte del proceso de
cambio o terminación de empleo.
Controles:
Terminación o cambio de responsabilidades de empleo
Objetivo:
Identificar los activos organizacionales y definir las responsabilidades de
protección apropiadas.
Controles:
Inventario de Activos
Propiedad de los Activos
Uso aceptable de los Activos
Devolución de Activos
Objetivo:
Asegura que la información recibe un nivel apropiado de protección, de
acuerdo con su importancia para la organización.
Controles:
Clasificación de la información.
Etiquetado de la información
Manejo de activos
Objetivo:
Evitar la divulgación, la modificación, el retiro o la destrucción no
autorizados de información almacenada en los medios.
Controles:
Gestión de medios removibles
Disposición de los medios
Transferencia de medios físicos
Objetivo:
Limitar el acceso a información y a instalaciones de procesamiento de
información.
Controles:
Política de control de acceso
Acceso a redes y a servicios en red.
Objetivo:
Asegurar el acceso de los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.
Controles:
Registro y cancelación del registro de usuarios.
Suministro de acceso de usuarios
Gestión de derechos de acceso privilegiado
Gestión de información de autenticación secreta de usuarios.
Revisión de los derechos de acceso de usuarios
Retiro o ajuste de los derechos de acceso
© SGS SA 2012 ALL RIGHTS RESERVED 58
A.9. CONTROL DE ACCESO
Objetivo:
Hacer que los usuarios rindan cuentas por la salvaguarda de su
información de autenticación.
Controles:
Uso de información de autenticación secreta.
Objetivo:
Evitar el acceso no autorizado a sistemas y aplicaciones.
Controles:
Restricción de acceso a la información
Procedimiento de ingreso seguro
Sistema de gestión de contraseñas
Uso de programas utilitarios privilegiados
Control de acceso a códigos fuente de programas
Objetivo:
Asegurar el uso apropiado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o la integridad de la información.
Controles:
Política sobre el uso de controles criptográficos
Gestión de Llaves
Objetivo:
Prevenir el acceso físico no autorizado, el daño y la interferencia a la
información y a las instalaciones de procesamiento de información de la
organización.
Controles:
Perímetros de seguridad física
Controles de acceso físico
Seguridad de oficinas, recintos e instalaciones
Protección contra amenazas externas y ambientales
Trabajo en áreas seguras
Áreas de despacho y carga
© SGS SA 2012 ALL RIGHTS RESERVED 62
A.11. SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.2. Equipos.
Objetivo:
Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las operaciones de
la organización.
Controles:
Ubicación y protección de los equipos
Servicios de suministro
Seguridad del cableado
Mantenimiento de equipos
Retiro de activos
Seguridad de los activos
Seguridad de equipos y activos fuera de las instalaciones
Disposición segura o reutilización de equipos
Equipos de usuario desatendido
Política de escritorio limpio y pantalla limpia
Objetivo:
Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
Controles:
Procedimientos de operación documentados
Gestión de cambios
Gestión de capacidad
Separación de los ambientes de desarrollo, pruebas y operación
Objetivo:
Asegurarse de que la información y las instalaciones de procesamiento
de información estén protegidas contra códigos maliciosos.
Controles:
Controles contra códigos maliciosos
Objetivo:
Proteger contra pérdida de datos.
Controles:
Respaldo de la información
Objetivo:
Registrar eventos y generar evidencia.
Controles:
Registro de eventos
Protección de la información de registro
Registros del administrador y del operador
Sincronización de relojes
Objetivo:
Asegurarse de la integridad de los sistemas operacionales.
Controles:
Instalación de software en sistemas operativos
Objetivo:
Prevenir el aprovechamiento de las vulnerabilidades técnicas
Controles:
Gestión de las vulnerabilidades técnicas
Objetivo:
Minimizar el impacto de las actividades de auditoría sobre los sistemas
operativos
Controles:
Controles de auditorías de sistemas de información
Objetivo:
Asegurar la protección de la información en las redes y sus
instalaciones de procesamiento de información de soporte.
Controles:
Controles de redes
Seguridad de los servicios de red
Separación en las redes
Objetivo:
Mantener la seguridad de la información transferida dentro de una
organización y con cualquier entidad externa.
Controles:
Políticas y procedimientos de transferencia de información
Acuerdos sobre transferencia de información
Mensajería electrónica
Acuerdos de confidencialidad o de no divulgación
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de
los sistemas de información durante todo el ciclo de vida. Esto incluye
también los requisitos para sistemas de información que prestan
servicios sobre redes públicas.
Controles:
Análisis y especificación de requisitos de seguridad de la
información.
Seguridad de servicios de las aplicaciones en redes públicas
Protección de transacciones de los servicios de las aplicaciones.
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo de
vida de desarrollo de los sistemas de información.
Controles:
Política de desarrollo seguro
Procedimientos de control de cambios en sistemas
Revisión técnica de las aplicaciones después de cambios en la plataforma de operación
Restricciones en los cambios a los paquetes de software
Principios de construcción de los sistemas seguros
Ambiente de desarrollo seguro
Desarrollo contratado externamente
Pruebas de seguridad de sistemas
Prueba de aceptación de sistemas
Objetivo:
Asegurar la protección de los datos usados para pruebas.
Controles:
Protección de datos de prueba
Objetivo:
Asegurar la protección de los activos de la organización que sean
accesibles a los proveedores.
Controles:
Política de seguridad de la información para las relaciones con
proveedores
Tratamiento de la seguridad dentro de los acuerdos con
proveedores
Cadena de suministro de tecnología de información y comunicación
Objetivo:
Mantener el nivel acordado de SI y de prestación del servicio en línea
con los acuerdos con los proveedores.
Controles:
Seguimiento y revisión de los servicios de los proveedores
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad
de la información, incluida la comunicación sobre eventos de seguridad y
debilidades.
Controles:
Responsabilidades y procedimientos
Reporte de eventos de seguridad de la información
Reporte de debilidades de seguridad de la información
Evaluación de eventos de seguridad de la información y decisiones sobre ellos
Respuesta a incidentes de seguridad de la información
Aprendizaje obtenido de las incidentes de seguridad de la información
Recolección de evidencia
© SGS SA 2012 ALL RIGHTS RESERVED 78
A.17. ASPECTOS DE SEGURIDAD
DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL
NEGOCIO
Objetivo:
La continuidad de seguridad de la información se debe incluir en los
sistemas de gestión de la continuidad de negocio de la organización.
Controles:
Planificación de la continuidad de la seguridad de la información
Implementación de la continuidad de la seguridad de la información
Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.
A.17.2. Redundancia.
Objetivo:
Asegurar la disponibilidad de instalaciones de procesamiento de
información.
Controles:
Disponibilidad de instalaciones de procesamiento de información
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de
reglamentación o contractuales relacionadas con seguridad de la
información y de cualquier requisito de seguridad
Controles:
Identificación de la legislación aplicable y de los requisitos
contractuales.
Derechos de propiedad intelectual
Protección de registros
Privacidad y protección de información de datos personales
Reglamentación de controles criptográficos.
© SGS SA 2012 ALL RIGHTS RESERVED 81
A.18. CUMPLIMIENTO
A.18.2. Revisiones de Seguridad de la Información.
Objetivo:
Asegurar que la seguridad de la información se implemente y opere de
acuerdo con las políticas y procedimientos organizacionales.
Controles:
Revisión independiente de la seguridad de la información
Cumplimiento con las políticas y normas de seguridad
Revisión del cumplimiento técnico
Auditoria Interna
PRE auditoria (opcional)
Auditoria Interna
Oportunidades de Mejora
A.I.
Seguimiento V2
A.I.
Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria
A.I.
Seguimiento V5
A.I. Seguimiento V4
De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.
De segunda parte
Una auditoria realizada por una organización a sus
De tercera parte
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.
AUDITORÍA
ALCANCE DE LA AUDITORÍA
PROGRAMA DE AUDITORÍA
PLAN DE AUDITORÍA
CRITERIOS DE AUDITORÍA
AUDITOR
EVIDENCIA DE AUDITORIA
COMPETENCIA
EXPERTO TÉCNICO
HALLAZGOS DE LA AUDITORÍA
CONCLUSION DE AUDITORÍA
OBSERVADOR
AUDITADO
GUIA
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.
AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
AUDITADO(3.7.)
Organización a ser auditada.
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
© SGS SA 2012 ALL RIGHTS RESERVED 90
PRINCIPIOS DE AUDITORÍA
INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.
La evidencia existe
No está influenciada por emociones o prejuicio
Puede ser documentada (datos)
Puede estar basada en la observación (hechos)
Debe estar relacionada con el SGSI
Puede ser cuantificada y cualitativa
Puede verificarse (evidencia real)
a) Es conforme con:
• Los propios requisitos de la organización para su SGSI.
Incluye:
Normas aplicables,
Políticas
Procedimientos
Regulaciones
Legislación
Requisitos contractuales
Códigos de Conducta del sector-industria-negocio
Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.
Organización:
Dirección: Fechas
en sitio:
Auditor Interno
Líder:
Grupo Auditor
Lenguaje de
auditoria:
Objetivos de auditoria:
¿Cómo? ¿Porqué?
¿Donde? Quién?
¿Cuáles? ¿Cuando?
¿Muéstreme? ¿Qué?
© SGS SA 2012 ALL RIGHTS RESERVED 109
EJECUCIÓN
Propósito:
Confirmar Plan de auditoria.
Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.
Conformidad;
No conformidad o no concordancia o incumplimiento;
Observación.
“observaciones”,
“oportunidades de mejora”.
PREPARACIÓN
Cada auditor relata sus hallazgos.
El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.
PREPARACIÓN
DEL INFORME
PREPARACIÓN Y
REUNIR INFORMES
DISTRIBUCIÓN
CO AUDITORES
DEL INFORME
Auditoria No
Fecha
Lugar
Auditores
Norma ISO27001:2013
Objetivo de la Auditoria
Personal entrevistado
Procesos Auditados
OBSERVACIONES:
NO SI
Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC
Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque
Porque
Efecto
Porque 4 Porque 5
© SGS SA 2012 ALL RIGHTS RESERVED 130
Diagrama Causas Efecto:
Se utiliza para representar la relación entre algún efecto y todas las posibles causas que lo
influyen.