La certificación en ISO 27001. Cómo conseguirla.
Una vez que una organización tiene implantada la norma ISO 27001 es la hora de la llegada del auditor de la entidad certificadora y someterse a ello.
La auditoría se puede desarrollar en distintas fases:
- Fase 1. Revisión de la documentación.
El auditor requiere la documentación sobre el alcance, política y objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de la evaluación de riesgos el Informe sobre la evaluación de riesgos, el Plan de tratamiento del riesgo, la Declaración de aplicabilidad, las medidas correctivas y preventivas, los procedimientos para el control de documentos, y la auditoría interna.
La lista mostrada recoge los requerimientos mínimos. Si faltara alguno de los elementos citados, quiere decir que no está listo para la siguiente fase de la auditoría.
- Fase 2. Auditoría principal.
Se suele realizar unas semanas después de la revisión de la documentación. Esta fase centra su atención en si la organización está haciendo realmente los que sus documentos y el estándar ISO-27001 dicen que tiene que hacer.
El auditor verificará si el SGSI se ha materializado verdaderamente en la organización mediante la observación y entrevistas a los empleados, así como con el control los registros de la empresa.
Los registros obligatorios que se incluyen son los de formación, capacitación, habilidades, experiencias y calificaciones, auditoría interna, revisión por parte de la gerencia y medidas correctivas y preventivas. No obstante, el auditor esperará ver muchos más registros como resultado de la ejecución de los procedimientos.
Si el auditor encontrara algún incumplimiento lo informará en sus resultados en el informe de auditoría y se le dará a la organización un plazo de 90 días, generalmente, para tomar las medidas correctivas correspondientes.
Hecho esto se le notificará al auditor, enviándole evidencias de lo que se ha realizado. En el mejor de los casos el auditor aceptará su medida y activará el proceso de emisión del certificado.
ISOTools ayuda en la gestión de las auditorías, aportando grandes beneficios metodológicos, debido a que permite dar respuestas a los elementos predefinidos y dar a conocer el grado de madurez de los procesos.