ISO/IEC 27007 guía para auditar

ISO 27007

ISO 27007 forma parte de la familia de normas del Sistema de Gestión de Seguridad de la Información – SGSI –.

La norma suministra una guía para las entidades acreditadas de certificación para auditar SGSI.

ISO-27007 refleja en gran parte a la norma ISO 19001 (estándar de auditoría para sistemas de gestión de la calidad y medioambiental). Se encarga de aportar orientación adicional al SGSI.

Por otro lado también se basa en ISO 17021, Evaluación de la conformidad.

El estándar acoge:

• La gestión del programa de auditoría del SGSI: establecer qué, cuándo y cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos de auditoría, mantenimiento de los registros de la misma, mejora continua del proceso…

• Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.

• Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación…

Esta guía tiene los siguientes fines:

• Confirmar que los controles de seguridad de la información mitigan de forma correcta los riesgos de la organización.

• Verificar que los controles de seguridad en relación con la contabilidad general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.

• Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.

• Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.

• Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.

La Plataforma Tecnológica ISOTools hace más fácil la identificación de riesgos de seguridad, y colabora en el seguimiento de la auditoría del SGSI.