¿Qué es una auditoría interna en ISO 27001?

Descripción general

Una auditoría interna es una evaluación sistemática e independiente de su SGSI para verificar que cumple con los requisitos de ISO 27001:2022 y que está implementado de manera efectiva. Es un requisito obligatorio bajo la Cláusula 9.2 y una herramienta crítica para identificar brechas antes de su auditoría de certificación.

Las auditorías internas proporcionan evidencia objetiva de que su SGSI funciona según lo previsto y ayudan a impulsar la mejora continua.

La auditoría interna en la práctica

ISO 27001:2022 requiere que realice auditorías internas a intervalos planificados para evaluar si su SGSI:

• Cumple con los requisitos de su propio SGSI y los estándares ISO 27001:2022

• Está implementado y mantenido de manera efectiva

• Logra los resultados previstos definidos en sus objetivos de seguridad de la información

Debe establecer un programa de auditoría que considere la importancia de los procesos, los cambios que afectan a la organización y los resultados de auditorías previas.

Componentes clave de las auditorías internas

Planificación de la auditoría

Su programa de auditoría debe definir:

• Frecuencia de la auditoría (normalmente anual, pero las áreas de alto riesgo pueden requerir revisiones más frecuentes)

• Alcance de la auditoría cubriendo todas las cláusulas del SGSI (4-10) y los controles aplicables del Anexo A

• Criterios de auditoría basados en los requisitos de ISO 27001:2022 y sus procedimientos documentados

• Métodos de auditoría (revisión de documentos, entrevistas, observación, muestreo)

Realización de la auditoría

Durante la auditoría, usted debe:

• Revisar la información documentada (políticas, procedimientos, registros)

• Entrevistar a los dueños de los procesos y al personal

• Observar la implementación de los controles

• Muestrear evidencia de la efectividad de los controles

• Documentar los hallazgos de manera objetiva con evidencia

Informe de auditoría

La Cláusula 9.2 requiere que conserve información documentada como evidencia de los resultados de la auditoría. Sus informes de auditoría deben incluir:

• Conformidades y no conformidades identificadas

• Oportunidades de mejora

• Evidencia que respalde los hallazgos

• Requisitos de acciones correctivas para las no conformidades

Requisitos del auditor

La Cláusula 9.2 de ISO 27001:2022 especifica que los auditores deben:

• Ser competentes en auditoría y seguridad de la información

• Ser imparciales y objetivos

• No auditar su propio trabajo (requisito de independencia)

Ejemplo: Un gerente de seguridad de TI puede auditar los procesos de RR. HH., pero otra persona debe auditar los controles de seguridad de TI de los que el gerente es responsable.

Frecuencia y tiempos de la auditoría

Aunque ISO 27001:2022 no exige intervalos específicos, las mejores prácticas incluyen:

• Completar la auditoría del SGSI al menos anualmente

• Auditorías más frecuentes para áreas críticas o de alto riesgo

• Auditorías adicionales después de cambios significativos

• Calendario que permita acciones correctivas antes de las auditorías de certificación externas

Áreas comunes de auditoría

Su auditoría interna debe cubrir:

• Cláusula 4: Contexto, alcance y límites del SGSI

• Cláusula 5: Compromiso de la dirección y política

• Cláusula 6: Evaluación y tratamiento de riesgos

• Cláusula 7: Recursos, competencia, concienciación, comunicación

• Cláusula 8: Planificación y control operativo

• Cláusula 9: Seguimiento, medición, auditoría interna, revisión por la dirección

• Cláusula 10: No conformidad y acción correctiva, mejora continua

• Anexo A: Controles aplicables de su SoA

Términos relacionados

• SGSI – El sistema que se está auditando

• Revisión por la Dirección – Utiliza los hallazgos de la auditoría como entrada

• Control – Medidas de seguridad individuales evaluadas en las auditorías

• Declaración de Aplicabilidad – Define qué controles auditar