Herramientas de usuario
master_cs:gsi:asesoramient_audiotira
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previa | |||
| master_cs:gsi:asesoramient_audiotira [2026/01/14 18:48] – thejuanvisu | master_cs:gsi:asesoramient_audiotira [2026/01/14 19:26] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 110: | Línea 110: | ||
| ===== Auditoría ===== | ===== Auditoría ===== | ||
| + | Es un proceso sistemático, | ||
| + | * Evidencia auditada: Registro verificable, | ||
| + | * Descubrimientos de la auditoría: Resultados de la evaluación de las evidencias recolectadas | ||
| + | * Conclusiones de la auditoría: Resultado de la auditoría tras considerar los objetivos de la auditoría y los descubrimientos | ||
| + | * Cliente auditado: Organización que solicita la auditoría. | ||
| + | * Auditado: Organización que es auditada | ||
| + | * Auditor: Los que realizan la auditoría. | ||
| + | ==== Auditoría Interna ==== | ||
| + | También conocidas como First-Party. Son realizadas en nombre de o por la organización para revisar la gestión y otros propósitos. | ||
| + | |||
| + | ==== Auditoría externa ==== | ||
| + | También conocidas como second-party o thir-party. Las Second party son realizadas por grupos interesados en la organización. Las Third Party son realizadas por organizaciones auditoras independientes. | ||
| + | * ISO/IEC 27007:2011 Guidelines for information security management system auditing | ||
| + | * ISO/IEC TR 27008:2011: Guidelines for auditors on iformation security controls | ||
| + | |||
| + | ==== Auditorías combninadas ==== | ||
| + | * Auditoría combinada: Cuando 2 o más sistemas de gestión de diferentes disciplinas son auditados juntos | ||
| + | * Auditoría Conjunta: Cuando 2 o más organizaciones cooperan para auditar una organización. | ||
| + | |||
| + | ==== Principios para auditores y gestores de auditorías ==== | ||
| + | * Integridad: Deben ser honestos. Deben observar y respetar cualquier requerimiento legal aplicable. Deben demostrar competencia técnica. | ||
| + | * Presentación justa: Deben reportar de forma correcta y precisa. | ||
| + | * Importancia por el profesionalismo: | ||
| + | * Confidencialidad | ||
| + | |||
| + | ==== Principios del proceso de auditoría ==== | ||
| + | * Independencia: | ||
| + | * Los auditores deben ser independeintes de la actividad auditada de forma que no hayan conflictos de interés | ||
| + | * Para las auditorías internas, los auditores deben ser independientes de los gestores de las funciones auditadas | ||
| + | * Para las organizaciones pequeñas puede no ser posible que los auditores internos sean completamente independientes de la actividad auditada | ||
| + | * Proximación basada en evidencias. | ||
| + | * Las evidencias de las auditorías deben ser verificables | ||
| + | * Las evidencias tienen que ser basadas en muestras de la información disponible. | ||
| + | |||
| + | ==== Estudio de alcance y pre-auditoria ==== | ||
| + | * Los auditores determinan las principales areas en las que centrar las auditorías y las áreas que quedan expecíficamente fuera | ||
| + | * El alcance de la auditoría tiene que tener sentido en relación con la organización | ||
| + | * Prestar atención a los riesgos de la información y los controles de seguridad asociados con la información | ||
| + | * Identificar y hacer contacto con los principales interesados | ||
| + | |||
| + | ==== Planificación y preparación de la auditoría ==== | ||
| + | * El alcance ISMS negociado se divide en mayor detalle, generando una checklist ISMS | ||
| + | * El tiempo y recursos para la auditoría son negociados por la gerencia de ambas organizaciones | ||
| + | * Los planes de audotría suelen incluir checkpoints. | ||
master_cs/gsi/asesoramient_audiotira.txt · Última modificación: 2026/01/14 19:26 por thejuanvisu
Herramientas de la página
