Proceso de certificación de una entidad en la norma ISO 27001
Una
vez implantado el SGSI (Sistema de la gestión de la seguridad de la
información) en la organización, y con un historial de al menos 3
meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente manera:
• Solicitud
de la auditoría por parte del interesado a la entidad de
certificación y la toma de los datos por parte de la misma.
• Respuesta
en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación
de auditores, determinación de fechas y establecimiento conjunto del
plan de auditoría.
• Pre-auditoría:
opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y que oriente mejor sobre las
posibilidades para superar la auditoría real.
• Fase
1 de la auditoría: no necesariamente tiene que ser in situ, puesto
que se trata del análisis de la documentación por parte del Auditor
Jefe y la preparación del informe de la documentación básica del
SGSI del cliente, destacando los posibles incumplimientos de la norma
que se verificarán en la Fase 2. Este informe se envía junto al
plan de auditoría al cliente. El periodo máximo entre la Fase 1 y
Fase 2 es de 6 meses.
• Fase
2 de la auditoría: es la fase de detalle de la auditoría, en la que
se revisan in situ las políticas, la implantación de los controles
de seguridad y la eficacia del sistema en su conjunto. Se inicia con
una reunión de apertura donde se revisa el objeto, alcance, el
proceso, el personal, instalaciones y recursos necesarios, así como
posibles cambios de última hora. Se realiza una revisión de las
exclusiones según la Declaración de Aplicabilidad (documento SOA),
de los hallazgos de la Fase 1, de la implantación de políticas,
procedimientos y controles y de todos aquellos puntos que el auditor
considere de interés. Finaliza con una reunión de cierre en la que
se presenta el informe de auditoría.
• Certificación:
en el caso de que se descubran durante la auditoría no conformidades
graves, la organización deberá implantar acciones correctivas; una
vez verificada dicha implantación o, directamente, en el caso de no
haberse presentado no conformidades, el auditor podrá emitir un
informe favorable y el SGSI de organización será certificado según
ISO 27001.
• Auditoría
de seguimiento: semestral o, al menos, anualmente, debe realizarse
una auditoría de mantenimiento; esta auditoría se centra,
generalmente, en partes del sistema, dada su menor duración, y tiene
como objetivo comprobar el uso del SGSI y fomentar y verificar la
mejora continua.
• Auditoría
de re-certificación: cada tres años, es necesario superar una
auditoría de certificación formal completa como la descrita.
Empresas certificadas en Colombia.
| Nombre de la organizacion | Número de certificado | standar BS 7799-2:2002 o ISO/IEC 27001:2005 |
| ComBanc S.A. | IS 531192 | ISO/IEC 27001:2005 |
| Etek International Holding Corp. | IS 84320 | ISO/IEC 27001:2005 |
| Financial Systems Company Ltda | IND92101 | ISO/IEC 27001:2005 |
| Ricoh Colombia S.A. | IS 85241 | ISO/IEC 27001:2005 |
| SETECSA S.A | IND102074 | ISO/IEC 27001:2005 |
| UNE EPM Telecomunicaciones. S.A E.S.P | IND92122 | ISO/IEC 27001:2005 |
| UNISYS Global Outsourcing & Infrastructure Services (GOIS)/Maintenance Support Services (MSS) | IS 97104 | ISO/IEC 27001:2005 |
This post will be very useful to us....i like your blog and helpful to me....nice thoughts for your great work....
ResponderEliminarCertificacion ISO 27001 Mexico
I found your blog and it was really useful as well as informative thanks for sharing such an article with us. We also provide services related to certificación ISO 27001
ResponderEliminar