Una vez implantado el
SGSI en la organización, y con un historial demostrable de al menos
3 meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente forma:
• Solicitud de la
auditoría por parte del interesado a la entidad de certificación y
toma de datos por parte de la misma.
• Respuesta en
forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de
auditores, determinación de fechas y establecimiento conjunto del
plan de auditoría.
• Pre-auditoría:
opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
Una vez implantado el
SGSI en la organización, y con un historial demostrable de al menos
3 meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente forma:
• Solicitud de la
auditoría por parte del interesado a la entidad de certificación y
toma de datos por parte de la misma.
• Respuesta en
forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de
auditores, determinación de fechas y establecimiento conjunto del
plan de auditoría.
• Pre-auditoría:
opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
• Fase 1 de la
auditoría: no necesariamente tiene que ser in situ, puesto que se
trata del análisis de la documentación por parte del Auditor Jefe y
la preparación del informe de la documentación básica del SGSI del
cliente, destacando los posibles incumplimientos de la norma que se
verificarán en la Fase 2. Este informe se envía junto al plan de
auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es
de 6 meses.
• Fase 2 de la
auditoría: es la fase de detalle de la auditoría, en la que se
revisan in situ las políticas, la implantación de los controles de
seguridad y la eficacia del sistema en su conjunto. Se inicia con una
reunión de apertura donde se revisa el objeto, alcance, el proceso,
el personal, instalaciones y recursos necesarios, así como posibles
cambios de última hora. Se realiza una revisión de las exclusiones
según la Declaración de Aplicabilidad (documento SOA), de los
hallazgos de la Fase 1, de la implantación de políticas,
procedimientos y controles y de todos aquellos puntos que el auditor
considere de interés. Finaliza con una reunión de cierre en la que
se presenta el informe de auditoría.
• Certificación:
en el caso de que se descubran durante la auditoría no conformidades
graves, la organización deberá implantar acciones correctivas; una
vez verificada dicha implantación o, directamente, en el caso de no
haberse presentado no conformidades, el auditor podrá emitir un
informe favorable y el SGSI de organización será certificado según
ISO 27001.
• Auditoría de
seguimiento: semestral o, al menos, anualmente, debe realizarse una
auditoría de mantenimiento; esta auditoría se centra, generalmente,
en partes del sistema, dada su menor duración, y tiene como objetivo
comprobar el uso del SGSI y fomentar y verificar la mejora continua.
• Auditoría de
re-certificación: cada tres años, es necesario superar una
auditoría de certificación formal completa como la descrita.
Las organizaciones
certificadas a nivel mundial en ISO 27001, por entidades acreditadas figuran listadas en
http://www.iso27001certificates.com.
Para aquellas organizaciones que lo han autorizado, también está
publicado el alcance de certificación.
Naturalmente, la
organización que implanta un SGSI no tiene la obligación de
certificarlo. Sin embargo, sí es recomendable ponerse como objetivo
la certificación, porque supone la oportunidad de recibir la
confirmación por parte de un experto ajeno a la empresa de que se
está gestionando correctamente la seguridad de la información,
añade un factor de tensión y de concentración en una meta a todos
los miembros del proyecto y de la organización en general y envía
una señal al mercado de que la empresa en cuestión es confiable y
es gestionada transparentemente.
0 comentarios:
Publicar un comentario