Auditor Interno ISO 27001 PDF

FORMACIÓN COMO
AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013
© SGS SA 2012 ALL RIGHTS RESERVED 1

OBJETIVOS
Interpretar la
importancia de los
Conocer e Interpretar Comprender el aspectos
la serie de normas enfoque basado en relacionados con
ISO/IEC 27001. procesos PHVA Análisis y Evaluación
de Riesgos para un
SGSI
Conocer técnicas y Conocer los

Conocer los
herramientas para aspectos
requisitos
realizar auditorias relacionados con los
establecidos por el
internas al SGSI. y objetivos y
estándar ISO27001,
Desarrollar actividades de
para implementar un
habilidades para la control del Anexo A
SGSI en las
realización de las del estándar
organizaciones.
mismas. ISO27001.

MÓDULO I.

FAMILIA ISO 27000
ISO/IEC 27000 Fundamentals and vocabulary

ISO/IEC 27001 ISMS - Requirements
ISO/IEC 27002 Code of practice for information security management
ISO/IEC 27003 ISMS implementation guidance
ISO/IEC 27004 Information security management measurement
ISO/IEC 27005 Information security risk management
ISO/IEC 27006 Requirements for bodies providing audit and certification of information
security management systems
ISO/IEC 27007 Guidelines for information security management systems auditing
Accreditation Standards
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems.
ISO 27001:2013 – ISO 27001:2005

ANEXO SL
Es una directriz de la ISO para la redacción de

normas de sistemas de gestión basada en tres pilares
DEFINICIONES
TÍTULOS IDÉNTICOS TEXTOS Y TÉRMINOS
PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS
• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
usando los mismos textos
• Para cada norma particular • Para cada norma podrán
(texto estándar – anexo
pueden adicionarse establecerse definiciones
SL).
subcapítulos y adicionales pero
subcláusulas. • En todas las normas se únicamente para términos
utilizarán términos iguales técnicos de la especialidad.
con significados iguales.

ISO 27001:2013
La norma define seguridad como la preservación de:
SGSI
Confidencialidad Disponibilidad
Seguridad de que la información es Seguridad de que los

accesible solamente a quienes están usuarios autorizados
autorizados para ello. tienen acceso a la
Integridad
información en el momento
que la requieran.
Protección de la exactitud y
estado completo de la información
y métodos de procesamiento.
ISO 27001:2013 - CONTENIDO
4. Contexto de la
Organización

ISO 27001:2013 – ANEXO A
A5 Política de
Seguridad A6 Organización
de la Seguridad de
A11 Seguridad la información
Física y del
Entorno
A7 Recursos
Humanos
A10 Criptografía
A9 Control de A8 Gestión de Activos

Acceso

ISO 27001:2013 – ANEXO A
A12 A13
Operaciones Comunicacione
A18
Cumplimiento s
A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento
A15
A16 Incidentes Proveedores

INTRODUCCIÓN
0.1 GENERALIDADES
Esta norma internacional ha sido preparada para proveer un modelo
para:
• Establecer, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar un Sistema de Gestión de la Seguridad de la
información SGSI.
• La adopción de un SGSI debe ser una decisión estratégica para

una organización.
• El SGSI preserva la confidencialidad, la integridad y la

disponibilidad de la información, mediante la aplicación de un
proceso de gestión del riesgo, y brinda confianza a las partes
interesadas acercad de que los riesgos son gestionados
adecuadamente.
1. OBJETO Y CAMPO DE
APLICACIÓN
Esta Norma Internacional especifica los requisitos para establecer, implementar,

mantener y mejorar continuamente un sistema de gestión de la seguridad de la
información dentro del contexto de la organización. La presente Norma
Internacional incluye también los requisitos para la evaluación y el tratamiento de
riesgos de seguridad de la información, adaptados a las necesidades de la
organización. Los requisitos establecidos en esta Norma Internacional son
genéricos y están previstos para ser aplicables a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. Cuando una organización
declara conformidad con esta Norma Internacional, no es aceptable excluir
cualquiera de los requisitos especificados de los apartados 4 a 10.

2. REFERENCIAS
NORMATIVAS
Los siguientes documentos, en parte o en su totalidad, se referencian

normativamente en este documento y son indispensables para su aplicación.
Para referencias fechadas sólo se aplica la edición citada. Para referencias no
fechadas se aplica la edición más reciente del documento referenciado (incluida
cualquier enmienda).
ISO/IEC 27000, Information technology — Security techniques — Information

security management systems — Overview and vocabulary

3. TÉRMINOS Y
DEFINICIONES
Para los propósitos de este documento se aplican

los términos y definiciones presentados en la
norma ISO/IEC 27000.

CAPITULO 4
CONTEXTO DE LA ORGANIZACIÓN
4.1 4.2 4.3 4.4

CONOCIMIENTO DE COMPRENSIÓN DE LAS DETERMINACIÓN DEL SISTEMA DE GESTIÓN
LA ORGANIZACIÓN NECESIDADES Y ALCANCE DEL SGSI DE LA SEGURIDAD DE
Y DE SU CONTEXTO EXPECTATIVAS DE LAS LA INFORMACIÓN
PARTES INTERESADAS

4. CONTEXTO DE LA
ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar las cuestiones externas e internas que son

pertinentes para su propósito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestión de la seguridad de la
información

4. CONTEXTO DE LA
ORGANIZACIÓN
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS
La organización debe determinar:
a) las partes interesadas que son pertinentes al sistema de gestión de la

seguridad de la información; y
b) los requisitos de estas partes interesadas pertinentes a seguridad de la

información.

4. CONTEXTO DE LA
ORGANIZACIÓN
4.3 DETERMINACION DEL ALCANCE DEL SGSI
La organización debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance.
Para determinar el alcance la organización debe considerar:

a) Aspectos internos y externos referidas en el 4.1. y
b) Los requisitos referidos en 4.2.; y
c) Las interfaces y dependencias entre las actividades realizadas y las que
realizan otras empresas.
 El alcance debe estar disponible como información documentada

CAPITULO 5
LIDERAZGO
5.1 5.2 5.3

LIDERAZGO Y POLÍTICA ROLES,
COMPROMISO RESPONSABILIDADES
Y AUTORIDADES EN
LA ORGANIZACIÓN

5. LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI así:
a) Asegurado que se establece la política y los objetivos del SGSI.
b) Asegurando la integración de los requisitos del SGSI con los procesos de negocio
c) Asegurando la disponibilidad de los recursos necesarios
d) Comunicando la importancia de una gestión eficaz y de conformidad con los requisitos
del SGSI.
e) Asegurando que el SGSI logre los resultados previstos.
f) Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
g) Promoviendo mejora continúa.
h) Apoyando otros roles pertinentes de la dirección para demostrar liderazgo aplicado a sus
áreas de responsabilidad.

5. LIDERAZGO
5.2 POLÍTICA
La Alta Dirección debe establecer una política que:
a) Sea adecuada al propósito de la organización.
b) Incluya objetivos de Seguridad de la Información o proporcione el marco para
el establecimiento de los mismos.
c) Incluya un compromiso de cumplir los requisitos aplicables relacionados con
la Seguridad.
d) Incluya compromiso de Mejora Continua
La política debe:
e) Estar como información documentada.
f) Comunicarse dentro de la empresa.
g) Estar disponible para las partes interesadas, según sea apropiado.
5. LIDERAZGO
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

La alta dirección debe asegurarse de que las responsabilidades y autoridades para
los roles pertinentes se asignen y comuniquen.
La alta dirección debe asignar la responsabilidad y autoridad para:
a) asegurarse de que el sistema de gestión de la seguridad de la información sea

conforme con los requisitos de esta Norma Internacional; e
b) informar a la alta dirección sobre el desempeño del sistema de gestión de la

seguridad de la información.

CAPITULO 6
PLANIFICACIÓN
6.2
6.1 OBJETIVOS DE
ACCIONES PARA
SEGURIDAD DE LA
TRATAR RIESGOS Y
INFORMACIÓN Y PLANES
OPORTUNIDADES
PARA LOGRARLOS
6.1.1
Generalidades
6.1.2
Valoración de
riesgos de la SI
6.1.3
Tratamiento de
Riesgos de la SI

6. PLANIFICACIÓN
6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
6.1.1. GENERALIDADES
Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado

4.1. Y los requisitos a que se hace referencia en el apartado 4.2. Y determinar los
riesgos y oportunidades con el fin de:
a) Asegurar que el SGSI pueda lograr los resultados previstos.
b) Prevenir o reducir los efectos indeseados.
c) Lograr la mejorar continua.
La organización debe planificar:
d) Las acciones para tratar los riesgos y oportunidades
e) La manera de:
1. Integrar e implementar estas acciones en sus procesos
2. Evaluar la eficacia de estas acciones.
6. PLANIFICACIÓN
6.1.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:

a) Establezca y mantenga criterios de riesgo de seguridad que incluya:
1. Criterios de Aceptación de riesgos.
2. Criterios para realizar valoraciones de riesgos.
b) Asegure que las valoraciones repetidas de riesgos produzcan resultados
consistentes, válidos y comparables.
c) Identifique los riesgos:
1. Aplicar el proceso de valoración de riesgos para identificar los riesgos
asociados con la pérdida de la confidencialidad, de integridad y de
disponibilidad de la información dentro del alcance.
2. Identificar a los dueños de los riesgos.

6. PLANIFICACIÓN
6.1.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
d) Analice los riesgos:

1. Evaluar las consecuencias potenciales si se materializan los riesgos
identificados 6.1.2 c. 1.
2. Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c.
1.
3. Determinar los niveles de riesgo.
e) Evalúe los riesgos:
1. Comparar los resultados del análisis de riesgos con los criterios establecidos
en identificados 6.1.2 a.
2. Priorizar los riesgos analizados para el tratamiento de riesgos.
Se debe conservar información documentada acerca del proceso de evaluación de

riesgos.
6. PLANIFICACIÓN
6.1.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
Se debe definir y aplicar un proceso de tratamiento de riesgos para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos, teniendo en cuenta los
resultados de la evaluación de riesgos.
b) Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
c) Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que no
se han omitidos controles.
d) Producir una Declaración de Aplicabilidad que tenga los controles necesarios y la
justificación de las exclusiones, ya sea que se implementen o no y la justificación para
las exclusiones de los controles del Anexo A.
e) Formular un plan de tratamiento de riesgos.
f) Obtener la aprobación del plan te tratamiento de riesgos y la aceptación de riesgos
residuales por parte de los dueños de los riesgos
Se debe conservar información documentada acerca del proceso de tratamiento de riesgos
6. PLANIFICACIÓN
6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS
La organización debe establecer los objetivos de SI en las funciones y niveles pertinentes.
Los objetivos deben:

a) Ser coherentes con la política
b) Ser medibles (si es posible)
c) Tener en cuenta los requisitos de SI aplicables y los resultados de la valoración y
tratamiento de los riesgos
d) Ser comunicados
e) Ser actualizados, según sea apropiado
Se debe conservar información documentada sobre los objetivos de SI

6. PLANIFICACIÓN
6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS
Cuando se hace la planificación para lograr sus objetivos de SI, la organización

debe determinar:
a) Lo que se va a hacer
b) Que recursos se requerirán
c) Quien será responsable
d) Cuándo se finalizará
e) Cómo se evaluarán los resultados

CAPITULO 7
SOPORTE
7.2 7.3 7.4 7.5

7.1 COMUNIACIÓN
RECURSOS COMPETENCIA TOMA DE CONCIENCIA INFORMACIÓN DOCUMENTADA
7.5.1
Generalidades
7.5.2 Creación y
Actualización
7.5.3 Control de la
Información
Documentada

7. SOPORTE
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementación, mantenimiento y mejora contínua del SGSI
7.2 COMPETENCIA
Se debe:
a) Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeño de la seguridad de la información.
b) Asegurar que las personas sean competentes, basándose en: educación,
formación o experiencia adecuadas.
c) Tomar acciones para adquirir la competencia necesario y evaluar su eficacia
(cuando sea aplicable)
d) Conservar la información documentada apropiada como evidencia.

7. SOPORTE
7.3 TOMA DE CONCIENCIA
Las personas deben tomar conciencia de:
a) La política.
b) Su contribución a la eficacia, incluyendo los beneficios de una mejora del desempeño.
c) Las implicaciones de la No Conformidad con los requisitos del SGSI.
7.4 COMUNICACIÓN
Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;
a) El contenido de la comunicación.
b) Cuando comunicar.
c) A quién comunicar.
d) Quién debe comunicar
e) Los procesos para llevar a cabo la comunicación.
7. SOPORTE
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 Generalidades
El SGSI debe incluir:

a) Información documentada requerida por la norma
b) Información documentada que la organización ha determinado que es necesaria para la
eficacia del SGSI.
Nota: El alcance de la información documentada puede ser diferente de una organización a

otra, debido a:
a) El tamaño de la organización y su tipo de actividades, procesos, productos y servicios.
b) La Complejidad de los procesos y sus interacciones.
c) La Competencia de las personas

7. SOPORTE
7.5.2 Creación y actualización
Cuando se crea o actualiza información documentada, se debe asegurar que sea apropiado:
a) La identificación y descripción (título, fecha, autor o número de referencia)
b) El formato (idioma, versión de Software, gráficos) y sus medios de soporte (papel,
electrónico).
c) La revisión y aprobación con respecto a la idoneidad y adecuación.
7.5.3 Control de la información documentada

La información documentada se debe controlar para asegurar que:
a) Esté disponible y adecuado para su uso, cuando y donde se requiere
b) Esté protegida adecuadamente (pérdida de confidencialidad, uso inadecuado o pérdida de
integridad).

7. SOPORTE

7.5.3 Control de la información documentada
Para el control de la documentación, la organización debe tratar las siguientes actividades,

según sea aplicable:
c) Distribución, acceso, recuperación y uso

d) Almacenamiento y preservación, incluido la legibilidad.
e) Control de Cambios (versión)
f) Retención y disposición.
Se debe identificar y controlar la información de origen externo, que la organización ha

determinado que es necesario para la planificación y operación del SGSI.

CAPITULO 8
OPERACIÓN
8.1 8.2 8.3

PLANIFICACIÓN Y VALORACIÓN DE TRATAMIENTO DE
CONTROL RIESGOS DE LA LOS RIESGOS DE LA
OPERACIONAL SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN

8. OPERACION
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
Se debe planificar, implementar y controlar los procesos necesarios para cumplir

con los requisitos de SI y para implementar las acciones determinadas en el
numeral 6.1. y para lograr los objetivos de SI del numeral 6.2
Se debe mantener información documentada para tener la confianza en que los
procesos se han llevado a cabo según lo planeado.
Se deben controlar los cambios planificados y revisar las consecuencias de los
cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando
sea necesario.
Se debe asegurar que los procesos contratados externamente estén controlados.

8. OPERACION
8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION

Se deben llevar a cabo valoraciones de riesgos de SI a intervalos planificados o
cuando se propongan u ocurran cambios significativos, teniendo en cuenta los
criterios establecidos en el numeral 6.1.2 a)
Se debe conservar información documentada de los resultados de las valoraciones
de riesgos de SI.
8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION

Se debe implementar el plan de tratamiento de riesgos de la SI.
Se debe conservar información documentada de los resultados del tratamiento de
los riesgos de la SI.

CAPITULO 9
EVALUACIÓN DEL DESEMPEÑO
9.1 9.2 9.3

SEGUIMIENTO, AUDITORIA INTERNA REVISIÓN POR LA
MEDICIÓN, DIRECCIÓN
ANALISIS Y
EVALUACIÓN

9. EVALUACIÓN DEL
DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Se debe evaluar el desempeño del SGSI y la eficacia del SGSI.
Se debe determinar:
a) A qué se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
b) Los métodos de seguimiento, medición, análisis y evaluación, para asegurar resultados válidos.
c) Cuándo se deben llevar a cabo el seguimiento y la medición.
d) Quien debe llevar a cabo el seguimiento y la medición.
e) Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
f) Quién debe analizar y evaluar estos resultados.
Se debe conservar información documentada apropiada como evidencia de los resultados del
monitoreo y la medición.

9. EVALUACIÓN DEL
DESEMPEÑO
9.2 AUDITORIA INTERNA
La organización debe llevar a cabo auditorias internas a intervalos planificados,
para proporcionar información acerca de si el SGSI:
a) Es conforme con:
1. Los propios requisitos de la organización para el SGSI
2. Los requisitos de esta norma
b) Esta implementado y mantenido eficazmente

9. EVALUACIÓN DEL
DESEMPEÑO
9.2 AUDITORIA INTERNA
La organización debe:
c) Planificar, establecer, implementar y mantener uno o varios programas de

auditoria. Estos programas deben tener en cuenta la importancia de los
procesos involucrados y los resultados de auditorías previas.
d) Para cada auditoría definir los criterios y alcance de esta
e) Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la
objetividad e imparcialidad del proceso de auditoría
f) Asegurarse de que los resultados se informan a la dirección pertinente;
g) Conservar información documentada de los de la implementación y resultados.

9. EVALUACIÓN DEL
DESEMPEÑO
9.3 REVISIÓN POR LA DIRECCIÓN
La revisión por la dirección debe incluir:
a) Estado de las acciones de las revisiones anteriores.

b) Cambios en los aspectos externos e internos que afecten el SGSI
c) Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
1. No Conformidades y Acciones Correctivas.
2. Seguimiento y resultados de las mediciones.
3. Resultados de la auditoría.
4. Cumplimiento de los objetivos del SGSI
d) Retroalimentación de las partes interesadas.
e) Resultados de la valoración de riesgos y estado del plan de tratamiento.
f) Oportunidades de mejora.
Se debe conservar información documentada

CAPITULO 10
MEJORA
10.1 10.2
NO MEJORA CONTINUA
CONFORMIDADES
Y ACCIONES
CORRECTIVAS

10. MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Cuando se tenga una No Conformidad, se debe:
a) Reaccionar ante la No Conformidad, según aplique:

1. Tomar acciones para controlarla y corregirla.
2. Hacer frente a las consecuencias
b) Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no vuelvan a
ocurrir las No Conformidades, mediante:
1. Revisión de la No Conformidad.
2. Determinar las causas.
3. Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
c) Implementar acciones
d) Revisar la eficacia de las acciones tomadas.
e) Hacer cambios al SGSI cuando sea necesario.
10. MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
Se debe conservar información documentada, como evidencia de:
f) La naturaleza de las no conformidades y cualquier acción posterior tomada
g) Los resultados de cualquier acción correctiva
10.2 MEJORA CONTINUA
La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

DOMINIOS ISO 27001

A.5. POLÍTICA DE SEGURIDAD
DE LA INFORMACIÓN
A.5.1. Orientación de la dirección para la gestión de la seguridad de la
información.
Objetivo:
Brindar orientación y soporte, por pate de la dirección, para la seguridad
de la información de acuerdo con los requisitos del negocio y con las
leyes y reglamentos pertinentes.
Controles:
 Políticas para la seguridad de la información
 Revisión de las políticas para la seguridad de la información.

A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A.6.1. Organización Interna.
Objetivo:
Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro
de la organización.
Controles:
 Roles y responsabilidades para la seguridad de la información
 Separación de deberes
 Contacto con autoridades
 Contacto con grupos de interés especial
 Seguridad de la información en la gestión de proyectos
A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A.6.2. Dispositivos Móviles y Teletrabajo.
Objetivo:
Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
Controles:
 Políticas para dispositivos móviles
 Teletrabajo

A.7. SEGURIDAD DE LOS
RECURSOS HUMANOS
A.7.1. Antes de asumir el empleo.
Objetivo:
Asegurar que los empleados y contratistas comprenden sus
responsabilidades y son idóneos en los roles para los que se
consideran.
Controles:
 Selección
 Términos y condiciones del empleo

RECURSOS HUMANOS
A.7.2. Durante la ejecución del empleo.
Objetivo:
Asegurarse de que los empleados y contratistas tomen conciencia de
sus responsabilidades de seguridad de la información y las cumplan.
Controles:
 Responsabilidad de la dirección
 Toma de conciencia, educación y formación de la SI
 Proceso Disciplinario
RECURSOS HUMANOS
A.7.3. Terminación y Cambio de empleo.
Objetivo:
Proteger los intereses de la organización como parte del proceso de
cambio o terminación de empleo.
Controles:
 Terminación o cambio de responsabilidades de empleo

A.8. GESTIÓN DE ACTIVOS
A.8.1. Responsabilidad por los activos.
Objetivo:
Identificar los activos organizacionales y definir las responsabilidades de
protección apropiadas.
Controles:
 Inventario de Activos
 Propiedad de los Activos
 Uso aceptable de los Activos
 Devolución de Activos

A.8.2. Clasificación de la Información.
Objetivo:
Asegura que la información recibe un nivel apropiado de protección, de
acuerdo con su importancia para la organización.
Controles:
 Clasificación de la información.
 Etiquetado de la información
 Manejo de activos

A.8.3. Manejo de Medios.
Objetivo:
Evitar la divulgación, la modificación, el retiro o la destrucción no
autorizados de información almacenada en los medios.
Controles:
 Gestión de medios removibles
 Disposición de los medios
 Transferencia de medios físicos

A.9. CONTROL DE ACCESO
A.9.1. Requisitos del negocio para control de acceso.
Objetivo:
Limitar el acceso a información y a instalaciones de procesamiento de
información.
Controles:
 Política de control de acceso
 Acceso a redes y a servicios en red.

A.9.2. Gestión de acceso de usuarios.
Objetivo:
Asegurar el acceso de los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.
Controles:
 Registro y cancelación del registro de usuarios.
 Suministro de acceso de usuarios
 Gestión de derechos de acceso privilegiado
 Gestión de información de autenticación secreta de usuarios.
 Revisión de los derechos de acceso de usuarios
 Retiro o ajuste de los derechos de acceso
A.9.3. Responsabilidad de los Usuarios.
Objetivo:
Hacer que los usuarios rindan cuentas por la salvaguarda de su
información de autenticación.
Controles:
 Uso de información de autenticación secreta.

A.9.4. Control de acceso a sistemas y aplicaciones.
Objetivo:
Evitar el acceso no autorizado a sistemas y aplicaciones.
Controles:
 Restricción de acceso a la información
 Procedimiento de ingreso seguro
 Sistema de gestión de contraseñas
 Uso de programas utilitarios privilegiados
 Control de acceso a códigos fuente de programas

A.10. CRIPTOGRAFÍA
A.10.1. Controles criptográficos.
Objetivo:
Asegurar el uso apropiado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o la integridad de la información.
Controles:
 Política sobre el uso de controles criptográficos
 Gestión de Llaves

A.11. SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.1. Áreas Seguras.
Objetivo:
Prevenir el acceso físico no autorizado, el daño y la interferencia a la
información y a las instalaciones de procesamiento de información de la
organización.
Controles:
 Perímetros de seguridad física
 Controles de acceso físico
 Seguridad de oficinas, recintos e instalaciones
 Protección contra amenazas externas y ambientales
 Trabajo en áreas seguras
 Áreas de despacho y carga
A.11. SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.2. Equipos.
Objetivo:
Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las operaciones de
la organización.
Controles:
 Ubicación y protección de los equipos
 Servicios de suministro
 Seguridad del cableado
 Mantenimiento de equipos
 Retiro de activos
 Seguridad de los activos
 Seguridad de equipos y activos fuera de las instalaciones
 Disposición segura o reutilización de equipos
 Equipos de usuario desatendido
 Política de escritorio limpio y pantalla limpia

A.12. SEGURIDAD DE LAS
OPERACIONES
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo:
Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
Controles:
 Procedimientos de operación documentados
 Gestión de cambios
 Gestión de capacidad
 Separación de los ambientes de desarrollo, pruebas y operación

OPERACIONES
A.12.2. Protección contra códigos maliciosos.
Objetivo:
Asegurarse de que la información y las instalaciones de procesamiento
de información estén protegidas contra códigos maliciosos.
Controles:
 Controles contra códigos maliciosos

OPERACIONES
A.12.3. Copias de Respaldo.
Objetivo:
Proteger contra pérdida de datos.
Controles:
 Respaldo de la información

OPERACIONES
A.12.4. Registro y Seguimiento.
Objetivo:
Registrar eventos y generar evidencia.
Controles:
 Registro de eventos
 Protección de la información de registro
 Registros del administrador y del operador
 Sincronización de relojes

OPERACIONES
A.12.5. Control de software operacional.
Objetivo:
Asegurarse de la integridad de los sistemas operacionales.
Controles:
 Instalación de software en sistemas operativos

OPERACIONES
A.12.6. Gestión de la vulnerabilidad técnica.
Objetivo:
Prevenir el aprovechamiento de las vulnerabilidades técnicas
Controles:
 Gestión de las vulnerabilidades técnicas
 Restricciones sobre la instalación de software

OPERACIONES
A.12.7. Consideraciones sobre auditorías de sistemas de información.
Objetivo:
Minimizar el impacto de las actividades de auditoría sobre los sistemas
operativos
Controles:
 Controles de auditorías de sistemas de información

COMUNICACIONES
A.13.1. Gestión de la Seguridad de las Redes.
Objetivo:
Asegurar la protección de la información en las redes y sus
instalaciones de procesamiento de información de soporte.
Controles:
 Controles de redes
 Seguridad de los servicios de red
 Separación en las redes

COMUNICACIONES
A.13.2. Transferencia de información.
Objetivo:
Mantener la seguridad de la información transferida dentro de una
organización y con cualquier entidad externa.
Controles:
 Políticas y procedimientos de transferencia de información
 Acuerdos sobre transferencia de información
 Mensajería electrónica
 Acuerdos de confidencialidad o de no divulgación

A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de
los sistemas de información durante todo el ciclo de vida. Esto incluye
también los requisitos para sistemas de información que prestan
servicios sobre redes públicas.
Controles:
 Análisis y especificación de requisitos de seguridad de la
información.
 Seguridad de servicios de las aplicaciones en redes públicas
 Protección de transacciones de los servicios de las aplicaciones.

A.14. ADQUISICIÓN,
DESARROLLO Y
A.14.2. Seguridad en los procesos de desarrollo y de soporte.
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo de
vida de desarrollo de los sistemas de información.
Controles:
 Política de desarrollo seguro
 Procedimientos de control de cambios en sistemas
 Revisión técnica de las aplicaciones después de cambios en la plataforma de operación
 Restricciones en los cambios a los paquetes de software
 Principios de construcción de los sistemas seguros
 Ambiente de desarrollo seguro
 Desarrollo contratado externamente
 Pruebas de seguridad de sistemas
 Prueba de aceptación de sistemas

A.14. ADQUISICIÓN,
DESARROLLO Y
A.14.3. Datos de prueba.
Objetivo:
Asegurar la protección de los datos usados para pruebas.
Controles:
 Protección de datos de prueba

A.15. RELACIONES CON LOS
PROVEEDORES
A.15.1. Seguridad de la información en las relaciones con

proveedores.
Objetivo:
Asegurar la protección de los activos de la organización que sean
accesibles a los proveedores.
Controles:
 Política de seguridad de la información para las relaciones con
proveedores
 Tratamiento de la seguridad dentro de los acuerdos con
proveedores
 Cadena de suministro de tecnología de información y comunicación

A.15. RELACIONES CON LOS
PROVEEDORES
A.15.2. Gestión de la prestación de servicios de proveedores.
Objetivo:
Mantener el nivel acordado de SI y de prestación del servicio en línea
con los acuerdos con los proveedores.
Controles:
 Seguimiento y revisión de los servicios de los proveedores
 Gestión de cambios en los servicios de los proveedores

A.16. GESTIÓN DE INCIDENTES
DE SEGURIDAD DE LA
INFORMACIÓN
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad
de la información, incluida la comunicación sobre eventos de seguridad y
debilidades.
Controles:
 Responsabilidades y procedimientos
 Reporte de eventos de seguridad de la información
 Reporte de debilidades de seguridad de la información
 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
 Respuesta a incidentes de seguridad de la información
 Aprendizaje obtenido de las incidentes de seguridad de la información
 Recolección de evidencia
A.17. ASPECTOS DE SEGURIDAD
DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL
NEGOCIO
A.17.1. Continuidad de la Seguridad de la Información.
Objetivo:
La continuidad de seguridad de la información se debe incluir en los
sistemas de gestión de la continuidad de negocio de la organización.
Controles:
 Planificación de la continuidad de la seguridad de la información
 Implementación de la continuidad de la seguridad de la información
 Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.

A.17. ASPECTOS DE SEGURIDAD
DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL
NEGOCIO
A.17.2. Redundancia.
Objetivo:
Asegurar la disponibilidad de instalaciones de procesamiento de
información.
Controles:
 Disponibilidad de instalaciones de procesamiento de información

A.18. CUMPLIMIENTO
A.18.1. Cumplimiento de requisitos legales y contractuales.
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de
reglamentación o contractuales relacionadas con seguridad de la
información y de cualquier requisito de seguridad
Controles:
 Identificación de la legislación aplicable y de los requisitos
contractuales.
 Derechos de propiedad intelectual
 Protección de registros
 Privacidad y protección de información de datos personales
 Reglamentación de controles criptográficos.
A.18. CUMPLIMIENTO
A.18.2. Revisiones de Seguridad de la Información.
Objetivo:
Asegurar que la seguridad de la información se implemente y opere de
acuerdo con las políticas y procedimientos organizacionales.
Controles:
 Revisión independiente de la seguridad de la información
 Cumplimiento con las políticas y normas de seguridad
 Revisión del cumplimiento técnico

MÓDULO II.

AUDITORIA DE CERTIFICACIÓN
Auditoria Interna
PRE auditoria (opcional)
Auditoría Primera (Segunda) Parte
Auditoria Interna
Oportunidades de Mejora
Auditoría de Certificación Acción Correctiva Mayor

Renovación A.I.
Certificación
Cierre Mayor
A.I.
Seguimiento V2
A.I.
Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria
A.I.
Seguimiento V5
A.I. Seguimiento V4

TIPOS DE AUDITORÍA
 De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.
 De segunda parte
Una auditoria realizada por una organización a sus
 De tercera parte
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.

LA CERTIFICACIÓN
Certificación y registro de organizaciones
Acredita a organismos de certificación para verificar y registrar el

cumplimiento de los estándares nacionales o internacionales en las
organizaciones.
También define el alcance de acreditación del organismo de

certificación.
 Reino Unido: (UKAS) United Kingdom Accreditation Service
 USA: (RAB)
 México: (EMA)
 Colombia: ONAC Organismo Nacional de Acreditación de Colombia

DEFINICIONES DE LA NORMA
ISO 19011
AUDITORÍA
ALCANCE DE LA AUDITORÍA
PROGRAMA DE AUDITORÍA
PLAN DE AUDITORÍA
CRITERIOS DE AUDITORÍA
AUDITOR
EVIDENCIA DE AUDITORIA
COMPETENCIA
EXPERTO TÉCNICO
HALLAZGOS DE LA AUDITORÍA
CONCLUSION DE AUDITORÍA
OBSERVADOR
AUDITADO
GUIA

ISO 19011
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.
ALCANCE DE LA AUDITORÍA (3.14.)

Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas,
las unidades organizacionales, actividades y procesos, así como el período de tiempo
cubierto.
PROGRAMA DE AUDITORÍA (3.13.)

Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar
y llevar a cabo las auditorias.
PLAN DE AUDITORÍA (3.15)

Descripción de las actividades y de los detalles acordados de una auditoria.

ISO 19011
CRITERIOS DE AUDITORÍA (3.2.)

Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.
AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.
EVIDENCIA DE AUDITORIA (3.3.)

Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
EXPERTO TÉCNICO (3.10.)

Persona que provee conocimiento especifico o experiencia al equipo auditor.
No actúa como un auditor.

ISO 19011
HALLAZGOS DE LA AUDITORÍA (3.4.)

Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.
CONCLUSION DE AUDITORÍA (3.5.)

Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos de
la auditoria y todos los hallazgos resultado de la auditoria.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
AUDITADO(3.7.)
Organización a ser auditada.
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
PRINCIPIOS DE AUDITORÍA
 INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.
 PRESENTACION ECUANIME: La obligación de informar con veracidad y exactitud.
 DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los

auditores deben proceder con el debido cuidado, de acuerdo con la importancia de la
tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoria y
por otras partes interesadas.
 CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la

discreción en el uso y protección, sobre la información obtenida en el curso de la
auditoría.
 INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las

conclusiones de auditoría. El auditor debe ser independiente y debe actuar en todos los
casos libre de cualquier conflicto de intereses
 ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar

conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria
sistemático. La evidencia de la auditoria es verificable. Está basada en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un período de
tiempo delimitado y con recursos finitos.
ATRIBUTOS DE LOS AUDITORES
 Honesto , Diligente, Responsable;

 Observar y cumplir con requerimientos legales;
 Demostrar su competencia mientras desarrolla su trabajo;
 Imparcial;
 Cuidar su juicio de auditoría y ser sensible a cualquier circunstancia
que pueda afectarle.
 Saber escuchar, Paciente, Claro, Capacidad de comunicarse;
 Mostrar interés.

EVIDENCIA OBJETIVA
 La evidencia existe
 No está influenciada por emociones o prejuicio
 Puede ser documentada (datos)
 Puede estar basada en la observación (hechos)
 Debe estar relacionada con el SGSI
 Puede ser cuantificada y cualitativa
 Puede verificarse (evidencia real)

RESPONSABILIDADES DEL
AUDITOR INTERNO LÍDER
 Dirige el proceso de auditoria

 Ayuda en la selección del personal del equipo
 Es el responsable por todas las etapas de la auditoria.
 Ayuda en la preparación del plan de auditoria
 Establece el contacto inicial con el auditado
 Representa el equipo auditor ante la dirección
 Preparara y entrega el informe final de auditoria
 Dirige de las actividades de seguimiento
 Trata la información con la discreción debida

RESPONSABILIDADES DEL
CO-AUDITOR
 Cumple con el 100% de los requisitos de auditoria

 Realiza efectivamente las actividades asignadas
 Documenta los hallazgos de auditoria
 Conserva y salvaguarda la documentación de la auditoria.
 Reporta los resultados de la auditoria
 Verifica la eficacia de las acciones aplicadas como resultado de la auditoria.
 Coopera y soporta al auditor líder.

9.2 AUDITORÍAS INTERNAS
La organización debe llevar a cabo auditorias internas a intervalos

planificados, para proporcionar información acerca de si el SGSI:
a) Es conforme con:
• Los propios requisitos de la organización para su SGSI.
• Los requisitos de la norma.
b) Está implementado y mantenido eficazmente.

FASES DE AUDITORIA
Programación Preparación Ejecución Entrega Seguimiento

PROGRAMACIÓN

Programa de auditoria: Conjunto de una o más auditorias
planificadas para un período de tiempo determinado y dirigidas hacia un

propósito específico
NOTA: Un programa de auditoria incluye todas las actividades necesarias

para planificar, organizar y llevar a cabo las auditorias.

DEFINICIÓN DE LOS CRITERIOS
DE AUDITORÍA
Incluye:
 Normas aplicables,
 Políticas
 Procedimientos
 Regulaciones
 Legislación
 Requisitos contractuales
 Códigos de Conducta del sector-industria-negocio

EJEMPLO OBJETIVOS DE AUDITORÍA
 Confirmar que el sistema de gestión de la seguridad de la información es

capaz de lograr los objetivos del SGSI y cumple con la política del SGSI de
la organización.
 Confirmar que la organización ha establecido, implementado, operado, ha

hecho seguimiento, reviso, ha mantenido y mejorado su SGSI
documentado, en el contexto de las actividades globales del negocio de la
organización.
 Verificar conformidad de los requisitos contractuales con los proveedores

relacionados con el SGSI
 Proporcionar al auditado una oportunidad para MEJORAR su SGSI

FORMATO DEL PROGRAMA DE
AUDITORÍA

PREPARACIÓN

ANÁLISIS DE LA
DOCUMENTACIÓN
La revisión de la documentación debe tener en cuenta:

• Tamaño de la organización;
• La naturaleza de la organización;
• Complejidad de la organización;
• Objetivo y alcance de su SGSI

PREPARACIÓN INDIVIDUAL
DEL EQUIPO AUDITOR
 Lea la documentación del SGSI y los procedimientos que la componen

con anticipación.
 Determine los lugares donde se realizarán las inspecciones.
 Utilice listas de verificación.
 Conozca la responsabilidad y posición de las Personas auditadas. No

llegue a preguntar que hace su entrevistado!!!
 Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.

PLAN DE AUDITORIA
Organización:
Dirección: Fechas
en sitio:
Auditor Interno
Líder:
Grupo Auditor
Estándar: ISO 27001:2013
Lenguaje de
auditoria:
Objetivos de auditoria:

PLAN DE AUDITORIA
Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave

Día 1 d 5 8:05 JCS Reunión de apertura
8:30 JCS Reclutamiento
9:00 JL Bases de Datos
10:00 SV Programación
11:30 JL Vinculación
12:30 Almuerzo
13:50 SV Departamento legal
14:30 JL Centro de datos Secundario
16:30 JCS Reunión de retroalimentación
17:00 Fin primer día

LISTAS DE CHEQUEO O
VERIFICACIÓN
 Ayudan a Optimizar el tiempo de la revisión.

 Sirven como una guía
 Es una herramienta para recolectar evidencias
 Ayuda a identificar elementos y procesos
 Valorar el estado actual del SGSI
 Adecuar las siguientes preguntas del proceso auditado,
de allí se desprende la posibilidad de obtener evidencia
suficiente.
 Se sugiere la utilización de preguntas tipo:
QUÉ?, CUÁNDO?, CÓMO?, DÓNDE?,

CUAL (ES)?

REALIZACIÓN DE LISTAS DE
CHEQUEO
¿Cómo? ¿Porqué?
¿Donde? Quién?
¿Cuáles? ¿Cuando?
¿Muéstreme? ¿Qué?
EJECUCIÓN

REUNIÓN DE APERTURA
Propósito:
 Confirmar Plan de auditoria.
 Se diligencian los Registros de reunión de apertura.
 Proporcionar un breve resumen de cómo se llevarán a cabo las actividades de

auditoría.
 Se identifican los conductos oficiales de comunicación.
 Se da una breve descripción de los Métodos utilizados en la auditoria.
 Se mencionan si es necesaria la utilización de recursos especiales.
 Se hace una breve explicación de que es una No Conformidad.
 Mencionar la Hora y fecha de la reunión de cierre
 Se le Proporciona al auditado la oportunidad de realizar preguntas.

EJECUTANDO LA AUDITORIA
 Haga un muestreo de las actividades y evite centrarse en

una sola.
 Busque evidencia observando lo que ocurre, revisando
y si es necesario reprocesando algunos de los registros
(Muestreo).
 Haga anotaciones completas.
 Escuche las explicaciones del auditado.
 Escriba y confirme más adelante si es procedente. No de
la impresión de que no le cree al auditado.
 Escriba detalles tales como: procedimientos, registros,
ordenes, lotes, características especiales, etc.
 Una auditoria abierta y amigable resultará en la obtención
de acuerdos de que el problema existe (o no existe).
 Verifique si la No Conformidad es o no puntual.

TÉCNICAS DE ENTREVISTA DEL
AUDITOR INTERNO
Durante la indagación o entrevista:

 Solicite explicación de las situaciones narradas.
 Escuche cuidadosamente lo que le indica su auditado.
 Mantenga Contacto cara a cara, no tome notas en portátil o agenda electrónica.
 Muéstrese interesado.
 Tome nota en corto tiempo.
 Observe el lenguaje corporal.
 Hable claro y cuidadosamente.
 Conozca sus preguntas (las de su lista de verificación).
 Sea sistemático al preguntar.
 Exprese en otra forma o con ejemplos si la pregunta no es bien entendida.
 Use preguntas abiertas y confirme lo entendido, no se quede con dudas.
 Agradezca el tiempo y las respuestas de su auditado.

ACTITUDES A TOMAR PARA
CONTROLAR LA AUDITORÍA
Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.
Actitudes a evitar en una auditoria

No sea controvertido, ni negativo, no critique, no discuta, no haga comparaciones
de ninguna índole, no sea sarcástico, …

¿CÓMO ENTORPECER LA
AUDITORÍA? (AUDITADO)
 Que le haga perder tiempo durante la auditoria.
 Que maneje al auditor.
 Que se invente o establezca situaciones inesperadas.
 Que pruebe el carácter del auditor.
 Que solamente entregue respuestas limitadas
 Que engañe al auditor

HALLAZGO
Hallazgo de Auditoría es el resultado de la evaluación de la evidencia

recopilada frente a los criterios de la auditoria
Hasta que no es clasificado, un hallazgo de la auditoria puede ser

una:
 Conformidad;
 No conformidad o no concordancia o incumplimiento;
 Observación.

REDACCIÓN DE LA NO
CONFORMIDAD
La redacción de una no conformidad debe

contener:
 Negación.
 Cual es la falla.
 Donde se falla.
 Evidencia.
 Incumplimiento y Criterio afectado.
EJEMPLO REDACCIÓN
DE LA NO CONFORMIDAD
No se evidencia un control sobre los accesos directos a la información

que se maneja en los portátiles y en los computadores de la
organización, lo cual se soporta en el hecho que al solicitar ver el
escritorio de los computadores del líder del proceso de Operaciones,
este tenían accesos directos a información de la organización,
incumpliendo de esta forma con lo establecido en la política interna
de Seguridad de la información y el Control A.11.2.9 de la norma ISO
27001:2013, que indica: “Se debe adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de procesamiento
de la información”.

CLASIFICACIÓN OBSERVACIONES
Los hallazgos de auditoria también pueden catalogarse como:
 “observaciones”,
 “oportunidades de mejora”.
Siempre se inicia con un verbo en infinitivo

 Asegurar…..
 Garantizar …
 Mejorar …
 Fortalecer …
 Diseñar….
 Implementar…..
 Evaluar ….

EJEMPLO REDACCIÓN
DE OBSERVACIÓN
Estructurar la aprobación del riesgo residual que incluya un informe
gerencial con información relevante de riesgos tratados alto-medios, costo
del impacto, relación después del tratamiento con inclusión de inversión de
implantación y resultado verde riesgo residual, además disminuir el tiempo
de aprobación del riesgo residual por parte de la dirección. Ampliar la
identificación de riesgos para los activos intangibles "Marca" y diferenciar
para activos aplicaciones finales y "Diseños-Desarrollo".
Generar diferentes campañas de sensibilización a los funcionarios

operativos, en la importancia de evitar almacenar contraseñas.
Ajustar la política de Backup "solo recursos compartidos", dado que hay

información relevante almacenada en discos locales de la organización.
REUNIÓN DE CIERRE
DIRIGIDA POR EL AUDITOR LIDER
PREPARACIÓN
 Cada auditor relata sus hallazgos.
 El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
 Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
 Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.

LA REUNIÓN DE CIERRE
DIRIGIDA POR EL AUDITOR INTERNO LIDER

 Agradecimientos.
 Preguntas y discusiones al final.
 Confirmar alcance SGSI.
 Objetivo de auditoria y alcance de auditoria.
 No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
 Presentación de fortalezas.
 Presentación de No Conformidades por el equipo.
(Si hay hechos).
 Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
 Registros.
 Preguntas al respecto.
ENTREGA

INFORME Y SEGUIMIENTO DE
AUDITORÍA
PREPARACIÓN
DEL INFORME
PREPARACIÓN Y
REUNIR INFORMES
DISTRIBUCIÓN
CO AUDITORES
DEL INFORME
CIERRE EFECTIVO SEGUIMIENTO

NC.

INFORME
Auditoria No
Fecha
Lugar
Auditores
Norma ISO27001:2013
Objetivo de la Auditoria
Personal entrevistado
Procesos Auditados
Resultado de Hallazgos NO CONFORMIDADES
OBSERVACIONES:
Firma de los Auditores

¿QUÉ NO INCLUIR EN EL INFORME
DE AUDITORÍA?
 Evite incluir opiniones subjetivas sobre el SGSI o la auditoría.

 Información confidencial que le fue suministrada durante la
auditoría.
 Critica hacia alguno de los individuos que tienen relación con los
procesos y en general con el SGSI.
 Evite las declaraciones ambiguas.
 No incluya detalles triviales.
 NUNCA incluya Observaciones o no conformidades no discutidas
en la reunión de cierre.

SEGUIMIENTO

SEGUIMIENTO
VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS
NO SI
Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC

RESPONSABILIDAD DUEÑO DEL
PROCESO AUDITADO
 Entendimiento y asimilación de la no conformidad.

 Investigación del problema raíz que dio pie a la No Conformidad.
 Determinación de las causas fundamentales, utilizando cualquier
metodología sugerida (5 porque, Lluvia de ideas, 4 M´s, entre otras).
 Elaboración del plan de acción para corregir las causas establecidas, que
incluya una breve descripción de las actividades, responsable, recursos y
fecha de ejecución.
 Fecha de seguimiento prevista para evaluación y posterior cierre de la No
Conformidad.
 Evaluación de la eficacia de la acción correctiva.
 Responsable del cierre.

Metodología 5 porque (¿por qué puede suceder?)
Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque
Porque
Efecto
Porque 4 Porque 5
Diagrama Causas Efecto:
Se utiliza para representar la relación entre algún efecto y todas las posibles causas que lo
influyen.

Diagrama Causas Efecto:
influyen.

Árbol de Causas:
influyen.

GRACIAS

Auditor Interno ISO 27001 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditor Interno ISO 27001 PDF

Transféré par

Droits d'auteur :

Formats disponibles

FORMACIÓN COMO

© SGS SA 2012 ALL RIGHTS RESERVED 1

Conocer técnicas y Conocer los

© SGS SA 2012 ALL RIGHTS RESERVED 2

© SGS SA 2012 ALL RIGHTS RESERVED 3

ISO/IEC 27000 Fundamentals and vocabulary

© SGS SA 2012 ALL RIGHTS RESERVED 5

Es una directriz de la ISO para la redacción de

© SGS SA 2012 ALL RIGHTS RESERVED 6

La norma define seguridad como la preservación de:

Seguridad de que la información es Seguridad de que los

© SGS SA 2012 ALL RIGHTS RESERVED 8

A9 Control de A8 Gestión de Activos

© SGS SA 2012 ALL RIGHTS RESERVED 9

© SGS SA 2012 ALL RIGHTS RESERVED 10

• La adopción de un SGSI debe ser una decisión estratégica para

• El SGSI preserva la confidencialidad, la integridad y la

Esta Norma Internacional especifica los requisitos para establecer, implementar,

© SGS SA 2012 ALL RIGHTS RESERVED 12

Los siguientes documentos, en parte o en su totalidad, se referencian

ISO/IEC 27000, Information technology — Security techniques — Information

© SGS SA 2012 ALL RIGHTS RESERVED 13

Para los propósitos de este documento se aplican

© SGS SA 2012 ALL RIGHTS RESERVED 14

4.1 4.2 4.3 4.4

© SGS SA 2012 ALL RIGHTS RESERVED 15

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debe determinar las cuestiones externas e internas que son

© SGS SA 2012 ALL RIGHTS RESERVED 16

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

La organización debe determinar:

a) las partes interesadas que son pertinentes al sistema de gestión de la

b) los requisitos de estas partes interesadas pertinentes a seguridad de la

© SGS SA 2012 ALL RIGHTS RESERVED 17

Para determinar el alcance la organización debe considerar:

© SGS SA 2012 ALL RIGHTS RESERVED 18

5.1 5.2 5.3

© SGS SA 2012 ALL RIGHTS RESERVED 19

5.1 LIDERAZGO Y COMPROMISO

© SGS SA 2012 ALL RIGHTS RESERVED 20

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

La alta dirección debe asignar la responsabilidad y autoridad para:

a) asegurarse de que el sistema de gestión de la seguridad de la información sea

b) informar a la alta dirección sobre el desempeño del sistema de gestión de la

© SGS SA 2012 ALL RIGHTS RESERVED 22

© SGS SA 2012 ALL RIGHTS RESERVED 23

Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado

6.1.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:

© SGS SA 2012 ALL RIGHTS RESERVED 25

d) Analice los riesgos:

Se debe conservar información documentada acerca del proceso de evaluación de

Se debe definir y aplicar un proceso de tratamiento de riesgos para:

La organización debe establecer los objetivos de SI en las funciones y niveles pertinentes.

Los objetivos deben:

Se debe conservar información documentada sobre los objetivos de SI

© SGS SA 2012 ALL RIGHTS RESERVED 28

Cuando se hace la planificación para lograr sus objetivos de SI, la organización

© SGS SA 2012 ALL RIGHTS RESERVED 29

7.2 7.3 7.4 7.5

© SGS SA 2012 ALL RIGHTS RESERVED 30

© SGS SA 2012 ALL RIGHTS RESERVED 31

El SGSI debe incluir: