by Elias Nahum Lainfiesta Castro 7 years ago
177
More like this
• Cerrar la auditoria.
• Recoger la conformidad del solicitante.
• Preguntar si el solicitante tiene alguna cuestión que le quiera aclarar.
• Informar de las recomendaciones que va dar el equipo de auditoria.
• Dar un resumen del resultado de la auditoria
• Recordar nuevamente el objetivo y alcance de la auditoria.
• Agradecer su colaboración
• Al final de la auditoria, el equipo auditor debe mantener una reunión con el solicitante para
Técnicas
• Resumen, análisis o evaluación
• Muestreo
• Revisión de documentos o registros
• Observación
Preguntas a los empleados
En esta segunda fase, el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. El auditor está capacitado para solicitar al personal de la organización que le muestre como se han generado las evidencias.
Aspectos a Cumplir
• La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.
• El grado de implicación de la dirección.
• Las revisiones del SGSI y de la seguridad.
• Como se monitoriza/mide, y se informa y mejora.
• Los objetivos que persigue la organización.
• La declaración de aplicabilidad.
El análisis de riesgos.
Una vez aprobado por el solicitante el plan de auditoria, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante
El proceso de auditoría de los controles puede no se exhaustivo y antes de iniciar la auditoria presencial el equipo auditor podrá realizar una selección de los controles que van a ser auditados
• Verificar que el SGSI está logrando los objetivos que la organización se ha marcado.
• Comprobar que el SGSI es conforme con las especificaciones de la norma.
Confirmar que la organización cumple con sus políticas y procedimientos.
Deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones
• Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799
• Dispones de control de versiones.
Está fechada y disponible.
El auditor ha de determinar si el análisis riesgos. Para empezar, tendrá que estar formalmente aceptado por la dirección de la organización y es obligatorio que este documentado tanto la metodología utilizada, que debe ser coherente con la complejidad de la organización, como los resultados de dicho análisis de riesgos.
Este alcance condiciona la certificación y el desarrollo de las autoridades; el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado.
Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único folio. Sí que se verificara que esté a disposición de todos los trabajadores de la organización.