ISO \ IEC 27001
Proporciona mediante un enfoque de procesos, un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
La norma adopta el modelo aplicable a todos los procesos SG:
Planear-Hacer-Chequear-Actuar
Grados de Auditor
| Auditor interno |
Diseñado para aquéllos que conducen auditorías internas del sistema de gestión de su organización
Reconoce atributos personales, educación, competencias técnicas y profesionales |
|---|---|
| Auditor provisional |
Diseñado como nivel de partida para auditores en entrenamiento que buscan una carrera de auditoría o para auditores con experiencia que deciden tomar un descanso en su actividad de auditor o son promovidos a otros puestos gerenciales
Reconoce atributos personales, educación, competencias profesionales y técnicas |
| Auditor |
Diseñado para miembros de equipos de auditoría
Reconoce la competencia del auditor y su contribución como un miembro eficaz de un equipo auditor |
| Auditor líder |
Diseñado para auditores líderes que usualmente desarrollan actividades en organismos de certificación o realizan auditorías de proveedores para grandes organizaciones
Reconoce la competencia en la gestión de auditorías y conducción de equipos |
| Auditor principal |
Diseñado para auditores con experiencia que trabajan por su cuenta (o sea como equipo de un solo auditor realizando auditorías individuales). Hemos diseñado este grado como una alternativa al de auditor líder.
Reconoce experiencia y competencia de 2 categorías de auditores:
|
Selección de Objetivos de Control y Controles Declaración de Aplicabilidad
Consideraciones
“Debe” = Obligatorio
Procedimientos Documentados= establecido, documentado, implementado y mantenido
La extensión de la documentación depende del tamaño, rubro, alcance y complejidad
Los documentos pueden estar en cualquier formato o tipo de medio
Control de Documentos – procedimiento documentado
- Aprobar
- Revisar y actualizar
- Se identifican cambios
- Versiones disponibles
- Legibles e identificables
- Disponibles
- Id de documentos Externos
- Control de la Distribución
- Prevenir el uso no intencionado de documentos obsoletos
- Aplicar Id. Adecuada en caso de retención de documentos
Control de Registros
- Establecerse y mantenerse para evidenciar la conformidad con los requisitos y operación eficaz
- Protegerse y Controlarse
- Tomar en cuenta requisitos legales, regulatorios y contractuales
- Legibles, Identificables y recuperables
- Documentar controles para la Id. Almacenamiento, Protección, Recuperación, Tiempo de Retención y Disposición de Registros
- Mantenerse Registros del Desempeño de los Procesos e Incidencias
