ISO 27001
Los sistemas de gestión basados en la norma ISO 27001 pueden contar con un procedimiento de auditoría definido para dar cumplimiento a los requisitos de la norma.
Este procedimiento debería recoger las actividades que hay que realizar en la auditoría, los criterios a aplicar y las responsabilidades que han de distribuirse entre los intervinientes en la auditoría interna.
Con este procedimiento se ha de revisar el cumplimiento de los requisitos de todo el sistema de gestión de la seguridad de la información respecto a la norma de referencia: la ISO-27001.
El procedimiento puede contener los siguientes apartados o contenidos:
- La definición del objetivo al que se orienta el procedimiento.
- La delimitación del alcance dentro del que tiene aplicación.
- Las responsabilidades estableciendo quién se encargará de la planificación del programa de auditoría interna de seguridad de la información.
- El desarrollo del procedimiento que comentaremos más adelante.
- Las referencias a normas, documentos de interés del sistema de gestión o externa
- Registros y anexos necesarios para la aplicación del procedimiento de auditoría interna.
En cuanto al apartado de desarrollo, esta parte del procedimiento identifica los aspectos específicos de la puesta en marcha de las auditorías internas. Es el caso de la indicación de las características de las personas que van a actuar como auditores internos.
Se deberán especificar las cualidades requeridas a la hora de seleccionar al auditor interno, incluyendo la referencia a la necesidad de independencia respecto al área auditada.
Por otra parte, también se desarrollarán los elementos que marcarán la planificación de las auditorías internas: cuándo hacerlas, qué parte auditar, quién auditará, etc.
Otro elemento fundamental es la definición de los pasos a seguir a la hora de preparar la auditoría, como los documentos que serán aplicables o las herramientas o metodologías que se emplearán en su desarrollo.
Una de las herramientas típicas en la realización de las auditorías internas y externas es la lista de comprobación en la que se va verificando el cumplimiento de cada uno de los requisitos aplicables recogiendo la evidencia correspondiente.
Por último, el procedimiento de auditoría interna debería contar con la descripción de las diferentes etapas que van a ir sucediéndose o desarrollándose de forma paralela:
- Entrevista inicial
- Aplicación de la lista de comprobación
- Recopilación de evidencias
- Investigación de las no conformidades detectadas
- Redacción del informe de auditoría interna
- Generación de las acciones correctivas
- Archivo de la documentación generada
Cumpliendo con todos los requisitos indicados, el procedimiento de auditoría interna del Sistema de Gestión de la seguridad de la Información conforme a la ISO 27001 contendrá todos los elementos necesarios para facilitar su puesta en marcha e implementación.