Auditor interno
La norma ISO 27001 es la empleada a nivel internacional a través de la cual las organizaciones de cualquier sector pueden implantar y certificar su sistema de gestión de la seguridad de la información.
Como en otras normas ISO, el sistema de gestión implantado con esta norma ha de realizar una auditoría interna de forma periódica en la que se verifique su adecuación con respecto a los requisitos de la norma periódica, normalmente una vez al año.
Las auditorías internas con respecto a la norma ISO-27001 han de estar programadas y contar con su propio plan de auditorías, aunque también puede plantearse que se hagan de forma conjunta con las auditorías internas de otros sistemas de gestión complementarios o similares, como es el caso de los de calidad de los servicios de TI que se fundamentan en la norma ISO 20000.
El plan de auditoría lo aprueba la dirección de la organización y, para la correcta puesta en marcha del mismo, es necesario que se comunique a todos los departamentos que se van a ver involucrados en la realización de la auditoría. También se ha de informar a todos los auditores internos.
Esta comunicación se realiza para que todos los implicados puedan preparar la auditoría interna de forma adecuada y trabajar con tiempo antes de que se ejecute.
En la auditoría interna se va a comprobar el funcionamiento del sistema de gestión de la seguridad de la información y los resultados de esta auditoría van a ser parte de las entradas para la revisión que la dirección ha de realizar del SGSI.
Para la realización de la auditoría se ha de contar con un procedimiento documentado en el que se incluyan las responsabilidades de cada una de las partes y los requisitos que han de cumplir para la planificación de la auditoría interna y los registros que se generan con el desarrollo de la misma.
El principal resultado de la auditoría es el informe generado por el auditor interno del que se podrán derivar una serie de acciones que ayuden a eliminar las no conformidades detectadas y que redunden en un SGSI más seguro y que gestione más eficientemente la información con la que trabaja la organización.
Por ello, la principal función de las auditorías internas de un SGSI basado en la ISO27001 es la de contribuir a la mejora continua del sistema y la gestión responsable de la información.