Guía de auditoría para diagnosticar el sistema de gestión de seguridad de la información bajo la Norma ISO/IEC 27001:2013

Abstract

Se determinó la creación de una guía de auditoría para evaluar el sistema de gestión de seguridad de la información con el apoyo de las directrices del anexo “A” de la norma ISO/IEC 27001:2013 y adicionalmente se crearon otros temas de evaluación con la finalidad de mitigar sus diferentes riesgos. Para todos los temas a evaluar se sugiere ejecutar pruebas para evidenciar que se encuentren de acuerdo con los lineamientos internos. Para la evaluación de la documentación del SGSI se precisa la solicitud del manual del sistema, políticas, procedimientos, formatos, entre otros, para los temas de riesgo, incidentes, pruebas de vulnerabilidad y clasificación de la información se requiere la metodología usada, la documentación de las capacitaciones realizadas y la herramienta utilizada. Adicionalmente se sugiere un esquema de evaluación independiente por tema y adicionalmente una calificación global del SGSI.

The creation of an audit guide was determined to evaluate the management system of information security with the support of the guidelines in Annex "A" of ISO / IEC 27001: 2013 and additionally other assessment issues were created with in order to mitigate different risks. For all subjects to evaluate suggested run tests to show that they are in accordance with the internal guidelines. For the evaluation of the documentation ISMS application of the system manual, policies, procedures, formats are required, inter alia, for risk issues, incidents, vulnerability testing and information classification methodology used is required, documentation of training conducted and the tool used. In addition, an independent evaluation scheme by subject and further an overall rating of ISMS is suggested.