A tu propio ritmo

Explora nuestra extensa colección de cursos diseñados para ayudarte a dominar varios temas y habilidades. Ya seas un principiante o un aprendiz avanzado, aquí hay algo para todos.

Bootcamp

Aprende en vivo

Únete a nosotros en nuestros talleres gratuitos, webinars y otros eventos para aprender más sobre nuestros programas y comenzar tu camino para convertirte en desarrollador.

Próximos eventos en vivo

Catálogo de contenidos

Para los geeks autodidactas, este es nuestro extenso catálogo de contenido con todos los materiales y tutoriales que hemos desarrollado hasta el día de hoy.

Tiene sentido comenzar a aprender leyendo y viendo videos sobre los fundamentos y cómo funcionan las cosas.

Buscar en lecciones

IngresarEmpezar
← Regresar a lecciones
Editar en Github

Proceso de Auditoría y Certificación ISO 27001

Resumen del Proceso de Certificación
1) Preparación y Documentación
2) Auditorías Internas
3) Implementación del SGSI
4) Auditorías Externas
5) Resolución de No Conformidades
6) Decisión de Certificación
7) Auditorías de Vigilancia

La certificación ISO 27001 es un proceso riguroso que demuestra el compromiso de una organización con la gestión de seguridad de la información. Este documento describe el proceso de certificación, la preparación para auditorías, los hallazgos comunes y el mantenimiento de la certificación.

proceso-certificación-iso-27001

Resumen del Proceso de Certificación

  1. Preparación y Documentación
  2. Auditoría de Fase 1 (Revisión de Documentación)
  3. Implementación del SGSI
  4. Auditoría de Fase 2 (Evaluación In Situ)
  5. Resolución de No Conformidades
  6. Decisión de Certificación
  7. Auditorías de Vigilancia y Recertificación (cada tres años)

1) Preparación y Documentación

La fase de preparación y documentación implica establecer los cimientos para el Sistema de Gestión de Seguridad de la Información (SGSI). Esto incluye definir el alcance, desarrollar políticas, realizar evaluaciones de riesgos y crear la documentación necesaria. Para una explicación detallada de este paso, consulta el artículo Implementación del Marco SGSI y Evaluación de Riesgos, donde cubrimos el proceso de preparación y documentación en profundidad.

2) Auditorías Internas

Una auditoría interna es un proceso en el que un auditor revisa la documentación y prácticas del SGSI para asegurar el cumplimiento con los estándares ISO 27001. Este es un paso crucial para garantizar que el SGSI funcione de manera efectiva antes de las auditorías de certificación externas.

Cómo Realizar Auditorías Internas:

  1. Planificar el cronograma de auditoría
  2. Seleccionar y capacitar a los auditores internos
  3. Preparar listas de verificación para la auditoría
  4. Realizar la auditoría
  5. Documentar hallazgos y no conformidades
  6. Presentar resultados a la dirección
  7. Implementar acciones correctivas

3) Implementación del SGSI

Con base en los resultados de la auditoría interna, la organización debe implementar acciones correctivas para resolver cualquier no conformidad encontrada. Este es un paso crucial para asegurar que el SGSI funcione de manera efectiva antes de las auditorías de certificación externas.

4) Auditorías Externas

Las auditorías externas son realizadas por un organismo de certificación acreditado para verificar el cumplimiento con los estándares ISO 27001. Durante la auditoría externa, el auditor:

  • Realiza un examen detallado de la implementación del SGSI
  • Entrevista al personal
  • Observa los procesos
  • Verifica los registros
  • Revisa la documentación pertinente
  • Verifica el cumplimiento con los estándares ISO 27001
  • Identifica no conformidades
  • Recomienda mejoras

Preparación para la Auditoría Externa

Para asegurarse de que el auditor externo no encuentre no conformidades, la organización debe:

  1. Revisar y actualizar toda la documentación del SGSI
  2. Realizar una auditoría interna exhaustiva
  3. Resolver cualquier no conformidad identificada
  4. Asegurar el compromiso y participación de la dirección
  5. Capacitar al personal sobre los requisitos de ISO 27001 y sus roles
  6. Preparar evidencia de la implementación y efectividad del SGSI

5) Resolución de No Conformidades

Los siguientes son hallazgos comunes que el auditor puede identificar durante la auditoría externa:

  1. Evaluaciones de riesgos incompletas
  2. Procesos inadecuados de auditoría interna
  3. Falta de objetivos medibles
  4. Revisión insuficiente por parte de la dirección
  5. Inventario de activos incompleto
  6. Medidas de control de acceso inadecuadas
  7. Falta de procedimientos de gestión de incidentes
  8. Planificación insuficiente de la continuidad del negocio

6) Decisión de Certificación

Después de la auditoría externa, el auditor proporcionará un informe con los hallazgos y recomendaciones para mejoras. La organización tendrá la oportunidad de abordar cualquier no conformidad encontrada durante la auditoría. Una vez que todas las no conformidades hayan sido resueltas, la organización será certificada.

7) Auditorías de Vigilancia

¡Felicidades! Has completado con éxito el proceso de certificación ISO 27001 y ahora formas parte de las 40,000 organizaciones que están certificadas. Sin embargo, el mantenimiento de la certificación es un proceso continuo y es necesario recertificarse cada tres años en algo llamado "auditoría de vigilancia".

Las auditorías de vigilancia son realizadas por un organismo de certificación acreditado para verificar el cumplimiento con los estándares ISO 27001. Durante la auditoría de vigilancia, el auditor:

  • Realiza un examen detallado de la implementación del SGSI
  • Entrevista al personal
  • Observa los procesos
  • Verifica los registros

Mantenimiento Continuo

Además de las auditorías de vigilancia, hay otras cosas que puedes hacer para mantener tu certificación:

  1. Realizar auditorías internas regularmente
  2. Llevar a cabo revisiones anuales por parte de la dirección
  3. Mejorar continuamente el SGSI
  4. Resolver no conformidades de manera inmediata
  5. Mantenerse actualizado sobre amenazas a la seguridad de la información y cambios en ISO 27001
  6. Prepararse para y pasar las auditorías de vigilancia