El objetivo de los precesos de certificacion es verificar la correcta implantacion de las normativas relativas a la gestion de la seguridad de la informacion concretamente.
Modelo PDCA
Nota:
Durante el proceso de certificacion, el auditor tratara de verificar que la organizacion de que posee el sistema de gestion de seguridad de la informacion ha implantado el modelo PDCA.
Consiste en:
Hacer
Nota:
Implantar las medidas en la seguridad
Planificar
Nota:
Decidir que medidas de seguridad han de implementarse
Verificar
Nota:
Trabajar analizando que no sucedan incidentes de seguridad
Actuar
Nota:
Realizar cambios en el SGSI en base a las evidencias generadas
Analisis de Riesgo
Nota:
Permite identificar que controles de seguridad han de implantarse en una organizacion segun los riesgos ante llos que se encuentra expuesta
Ventajas de la Certificacion
Conocer y analizar sus riesgos
Planificar, Organizar, y
esctructurar los recursos
asignados a seguridad
Aportar un valor añadido de
confianza en la proteccion
de la informacion
Establecer procesos y actividad
de revision
Externas
Aumentar la credibilidad
Facilitar la compra del consumidor
Facilitar el intercambio
Fidelizar a los clientes
ser elemento diferenciador
Internas
Proporcionar Confianza
Reducir Costes
Mejorar el producto o servicio
Aumentar la motivacion del personal
Mejorar los procesos
Proceso de auditoria
Nota:
El proceso de auditoria puede variar en ciertas fases y en la duracion o importancia que se de a cada una.
Auditoria documental
Documentacion a revisar
Politica de seguridad de la organizacion
Alcance de la Certificacion
Analisis de riesgo
Seleccion de controles
Revision de la documentacion de los controles seleccionados
Alcance limitaco
Auditoria In-situ
Nota:
indica la situacion real de la empresa
Revision documental
Nota:
esta debe ser entre 3 y 6 semanas
Objetivo
Confirmar que la Organizacion cumple con sus politcas y procedimientos
verificar que la sgsi esta logrando su objetivo que la organizacion se ha marcado
Comprobar que el sgsi desarrollado es conforme con las especificaciones de la normas
Planificacion
Incluir todos los controles criticos
Seleccionar controles que afecten a las actividades
Seleccionar controles de todas las secciones
Seleccionar los controles de forma que se auditen todos los departamentos involucrados
Plan de auditoria
Alcance y objetivo de la auditoria
Equipo por parte de la entidad y del solicitante
Personal del solicitante con responsabilidad
Documentos de referencias
Areas o departamentos que se auditaran
Muestras de controles que se auditaran
Agenda para las reuniones
Contenido y estructura de los Informes
Cierre de auditoria
Nota:
al final el equipo auditor debe mantener una reunion con el solicitante para :