¡Felicidades! Ha obtenido la certificación ISO 27001, lo cual no es tarea fácil. Pero ahora debe mantener la certificación, y eso significa realizar auditorías internas regulares.
Una auditoría interna ISO 27001 es exactamente lo que parece: una auditoría que su organización realiza internamente para evaluar si su sistema de gestión de seguridad de la información (ISMS) sigue cumpliendo con el estándar ISO 27001.
Este artículo le explica cómo realizar una auditoría interna que cumpla con los requisitos de ISO 27001. Aprenda con qué frecuencia debe realizar una auditoría interna, los pasos para completarla y obtenga una lista de verificación de auditoría interna ISO 27001 para simplificar el proceso.
¿Qué es una auditoría interna ISO 27001?
A diferencia de la revisión de certificación, que es completada por un auditor externo acreditado, la auditoría interna es realizada por sus propios empleados. Los resultados de estas auditorías internas lo ayudarán a mejorar el ISMS con el tiempo y asegurar que todavía cumpla con los requisitos para la certificación ISO 27001.
El estándar ISO/IEC 27001 establece los requisitos para una auditoría interna en la cláusula 9.2. Esta cláusula requiere que las auditorías internas:
- Se realicen a intervalos planificados
- Determinen si el ISMS cumple con los estándares propios de la organización así como con los requisitos de ISO 27001
- Estén documentadas como parte de un programa de auditoría formal
- Sean realizadas por un auditor interno independiente e imparcial (en otras palabras, no por alguien que tenga un nivel de control operacional o propiedad sobre el ISMS, o que haya estado involucrado en su desarrollo)
- Incluyan resultados de auditoría que se reporten a la gerencia y se conserven como parte de los registros de la organización
Aunque el estándar no especifica con qué frecuencia debe realizarse una auditoría interna, nuestros expertos en ISO 27001 recomiendan realizar una auditoría interna al menos una vez al año.
¿Por qué realizar una auditoría interna de ISMS?
Las auditorías internas regulares de ISO 27001 animan a las organizaciones a ser proactivas cuando se trata de mantener el ISMS. Un programa de auditoría interna también ayuda a las organizaciones a:
- Promover una postura de seguridad sólida al identificar no conformidades y vulnerabilidades antes de que ocurra un incidente de seguridad
- Realizar evaluaciones de riesgos regularmente y monitorear cualquier nuevo riesgo de seguridad de la información
- Comunicar los requisitos de seguridad cambiantes o las políticas de seguridad de la información a empleados y partes interesadas
- Asegurar que el personal siga consciente de sus roles y responsabilidades relacionados con el ISMS
- Identificar oportunidades para la mejora continua del ISMS
El proceso de auditoría interna de ISO 27001
Paso 1: Definir el alcance de su auditoría interna
El primer paso en su auditoría interna es crear un plan de auditoría. Necesitará establecer qué sistemas de información y activos deben incluirse en la evaluación. Confirme qué cláusulas de ISO 27001:2013 y controles del Anexo A son relevantes para su auditoría de certificación (una Declaración de Aplicabilidad es útil aquí).
A continuación, debe identificar un auditor interno para llevar a cabo la evaluación. Esta persona suele ser seleccionada por la dirección o el consejo de administración. ISO 27001 requiere que el auditor interno sea imparcial, por lo que debe ser alguien que no esté involucrado con la creación, implementación o operación diaria del SGSI.
Paso 2: Recolección de evidencia y revisión de documentos
El auditor interno deberá revisar sus políticas de seguridad de la información y los controles que ha implementado para proteger su SGSI. Aquí hay algunos ejemplos de la documentación que probablemente necesitará:
- Declaración de Alcance del SGSI: Este documento define la información y los procesos que su SGSI está diseñado para proteger.
- Declaración de Aplicabilidad del SGSI: Esta declaración explica qué controles de seguridad del Anexo A son —o no son— aplicables al SGSI de su organización.
- Política de Seguridad de la Información: Esta política proporciona una visión general de alto nivel de cómo la organización aborda la seguridad de la información.
- Evaluación de Riesgos de ISO 27001 y Plan de Tratamiento de Riesgos: Estos documentos identifican los riesgos organizacionales, determinan la probabilidad e impacto de cada riesgo y describen cómo la organización responderá a cada riesgo.
- Minutas de la reunión de revisión de la gestión del SGSI: La revisión de la gestión asegura que el SGSI esté alineado con los propósitos, objetivos y riesgos de la organización.
- Informe de Acción Correctiva / Análisis de Brechas del SGSI: Explica cómo la organización abordará las vulnerabilidades y no conformidades y mejorará el SGSI.
- Política de Continuidad del Negocio: Este documento describe cómo su organización continuará ofreciendo servicios críticos y restaurará funciones clave del negocio en caso de una interrupción no planificada.
Paso 3: Realizar la auditoría interna
Ahora es el momento de que el auditor interno comience su evaluación. Revisará la documentación y los controles, realizará entrevistas con los propietarios de los controles y observará los procedimientos operativos en acción. Todo esto informará la evaluación del auditor sobre si se están cumpliendo los objetivos organizacionales y si están en línea con los requisitos de ISO 27001. También les ayudará a identificar cualquier brecha que deba ser cerrada antes de la próxima auditoría de certificación.
Paso 4: Crear el informe de auditoría interna
Al igual que en una auditoría externa, la auditoría interna producirá un informe final. Aquí es donde el auditor interno resume sus hallazgos, incluidas las no conformidades y las acciones a realizar. El informe de auditoría interna debe incluir:
Su informe de auditoría interna de ISO 27001 debe incluir:
- Una introducción que resuma el alcance de la auditoría, los objetivos, el cronograma y las evaluaciones.
- Un resumen ejecutivo que explique los hallazgos clave de la auditoría.
- Orientación sobre quién debe revisar el informe y si la información que contiene debe ser clasificada.
- Un análisis detallado de los hallazgos de la auditoría, incluidas las recomendaciones y acciones correctivas.
- Una declaración que explique cualquier limitación al alcance de la auditoría.
Paso 5: Revisión por la dirección
El auditor interno presentará los hallazgos de la auditoría a la dirección y a las partes interesadas, compartirá las no conformidades mayores y/o menores que haya identificado y discutirá las oportunidades para mejorar el SGSI. Esta revisión por parte de la dirección también informará si la organización está lista para una auditoría de certificación de la etapa 2 de ISO 27001.
Plantilla de auditoría interna ISO 27001
Cada auditoría interna de ISO 27001 de una organización es tan única como su SGSI. Dicho esto, una lista de verificación de auditoría interna puede ser una adición increíblemente útil a su kit de herramientas ISO 27001.
Esta plantilla de auditoría interna enumera cada cláusula y control del Anexo A en un formato de hoja de cálculo para guiar a su auditor interno a través de los requisitos del estándar. Identifique a los propietarios de los controles/riesgos, mantenga los documentos de evidencia organizados y detecte fácilmente cualquier brecha o redundancia.
Optimice sus auditorías internas de ISO 27001 con Secureframe
Nuestra plataforma de automatización de cumplimiento simplifica el proceso de auditoría interna y genera un informe de preparación para ISO 27001. Podrá ver todas sus políticas y documentación en un solo lugar y recopilar automáticamente evidencia para la revisión interna. Vea exactamente cuán cerca está de cumplir con los requisitos de ISO 27001 y obtenga consejos prácticos para cerrar cualquier brecha. Solicite una demostración para aprender más sobre cómo agilizamos la implementación de ISO 27001.