Auditoría de certificación

Proceso de auditoria de certificacion:verificar la correcta implantacion de las normativas relativas a la gestion de la seguridad de la informacion
Modelo PDCA
1. Planificar
2. Hacer
3. Actuar
4. Verificar
Visiones para realizar los cambios en el SGSI
1. Registros: Evidencias del funcionamiento del SGSI
2. Metricas e indicadores: Indices que se puedan emplear para evaluar la evolucion del funcionamiento del SGSI
Ventajas de la Certificacion
1. Ventajas segun la implantacion de un SGSI segun algunas de las normas UNE 71502 o ISO/IEC 27001
  1. Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
  2. Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantacion de los controles adecuados, preparandose ante posibles emergencias y garantizando la continuidad del negocio.
  3. Asegurar su compromiso con el cumplimiento de la legislacion vigente sobre proteccion de datos de caracter personal, servicios de la sociedad de la informacion, comercio electronico, etc...
  4. Planificar, organizar y estructurar los recursos asignados a seguridad de la informacion.
  5. Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.
  6. Establecer procesos y actividades de revision, mejora continua y auditoria de la gestion y tratamiento de la informacion
  7. Integrar la gestion de la seguridad de la informacion con el resto de sistemas de inforamcion implantados en la empresa.
2. Ventajas Externas e Internas
  1. Externas
    1. Aumentar la credibilidad y confianza de clientes y administracion
    2. Facilitar el intercambio y acceso a mercados externos
    3. Evitar o disminuir evaluaciones sobre nuestros productos o servicios
    4. Ser un elemento diferenciador por la competencia
    5. Fidelizar a los clientes
    6. Facilitar la compra al consumidor
  2. Internas
    1. Proporcionar confianza a las personas de la organizacion
    2. Reducir costes
    3. aumentar la motivacion del personal
    4. Mejorar la satisfaccion del cliente interno
    5. Mejorar la satisfaccion del personal
    6. Mejorar los procesos
    7. MEjorar el producto o servicio
Proceso de auditoria
1. Tratar de evalauar la efectividad de la organizacion con respecto al uso de los recursos
2. Evalauar los sistemas y procesos que se desarrollan en la organizacion.
3. Detectar y prevenir posibles errores y fraudes
4. Evalauar el riesgo y los sistemas de seguridad de las organizaciones
5. Evaluar los planes de contingencia y de recuperacion en caso de desastres
6. Auditoria Documental
  1. Documentacion minima a revisar
    1. Politica de seguridad de la organizacion
    2. Alcance de la certificacion
    3. Analisis de riesgos de la organizacion
    4. La seleccion de controles de acuerdo con la declaracion de aplicabilidad
    5. Revision de la documentacion de los controles seleccionados
  2. Politica de seguridad de la organizacion
    1. Se revisara
      1. La definicion de la seguridad
      2. El soporte de la direccion a la implantacion del SGSI
      3. Las explicaciones breves sobre politicas, principios, practicas y cumplimientos de seguridad
      4. La definicion de responsabilidades
      5. Las referencias a otros documentos
  3. Alcance de la certificacion
  4. Analisis de riesgos de la organizacion
  5. Seleccion de controles de acuerdo con la declaracion de aplicabilidad
    1. Motivos para no implementacion de un control
      1. No existe un riesgo que lo justifique
      2. Falta de presupuesto
      3. No hay viabilidad tecnologia
      4. No se puede implantar por falta de tiempo
      5. No es aplicable
  6. Revision de la documentacion de los controles seleccionados
    1. Esta fechada y disponible
    2. Dispone de control de versiones
    3. Aparecen reflejados los diversos puntos de la normativa ISO/IEC 17799
    4. Situaciones posibles:
      1. El auditor no detecta no conformidades
      2. El auditor detecta no conformidades menores
      3. El auditor detecta grandes no conformidades
Auditoria in-situ
1. Objetivos:
  1. Confirmar que la org. cumple con sus politicas y procedimientos
  2. Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma
  3. Verificar que el SGSI esta logrando los objetivos que la organizacion se ha marcado
2. Planificacion de la auditoria
  1. Lamuestra deberá:
    1. Incluir todos los controles criticos.
    2. Seleccionar los controles que afecten a las actividades mas importantes de la org.
    3. Seleccionar controles de todas las secciones
    4. Seleccionar las secciones de forma que se auditen todos los deptos involucrados en el SGSI
    5. Dar prioridad a las areas de mayor riesgo
    6. si no se encuentran problemas serios se auditara el 20% de los controles aplicables
    7. Plan de auditoria
      1. Alcance y objetivo de la auditoria
      2. Equipo por parte de la entidad y del solicitante
      3. Personal del solicitante con responsablidad dentro del area afectada
      4. Documentos de referencia
      5. Areas o deptos que se auditaran
      6. Muestras de controles que se auditaran
      7. Agenda para las reuniones
      8. Contenido y estructura de los informes
3. Realizacion de la auditoria
  1. El analisis de riesgos
  2. Declaracion de aplicabilidad
  3. Los objetivos que persigue la organizacion
  4. Como se monitoriza y se informe y se mejora.
  5. Las revisiones del SGSI y de la seguridad
  6. El grado de la implicacion de la direccion
  7. La coherencia entre politicas, analisis de riesgos, objetivos, responsabilidades, etc.
4. Cierre de la auditoria
  1. Reunion con el solicitante
    1. Agradecer su colaboracion
    2. Recordare el objetivo y alcance de la auditoria
    3. Resumen del resultado de la auditoria
    4. Informar las recomendaciones
    5. Cerrar la auditoria

Next up

Auditoría de certificación

Description

Resource summary

Similar

	Created by Karim Abraham Nazar about 6 years ago