nch-iso 27006-2010-047
TRANSCRIPT
-
7/27/2019 NCh-ISO 27006-2010-047
1/61
NCh-ISO 27006
I
Contenido
Pgina
Prembulo IV
0 Introduccin 1
1 Alcance y campo de aplicacin 2
2 Referencias normativas 2
3 Trminos y definiciones 3
4 Principios 3
5 Requisitos generales 3
5.1 Asuntos legales y contractuales 3
5.2 Gestin de la imparcialidad 3
5.3 Responsabilidad legal y financiamiento 4
6 Requisitos relativos a la estructura 5
6.1 Estructura de la organizacin y alta direccin 5
6.2 Comit para la preservacin de la imparcialidad 5
7 Requisitos relativos a los recursos 5
7.1 Competencia de la direccin y el personal 5
7.2 Personal que interviene en las actividades de certificacin 6
7.3 Empleo de auditores externos y expertos tcnicos externos individuales 9
7.4 Registros relativos al personal 9
7.5 Contratacin externa (outsourcing) 9
-
7/27/2019 NCh-ISO 27006-2010-047
2/61
NCh-ISO 27006
II
Contenido
Pgina
8 Requisitos relativos a la informacin 9
8.1 Informacin accesible al pblico 9
8.2 Documentos de certificacin 10
8.3 Directorio de clientes certificados 10
8.4 Referencia a la certificacin y utilizacin de marcas 10
8.5 Confidencialidad 11
8.6 Intercambio de informacin entre un organismo de certificacin y sus
clientes 11
9 Requisitos relativos a los procesos 11
9.1 Requisitos generales 11
9.2 Auditora inicial y certificacin 16
9.3 Actividades de vigilancia 22
9.4 Renovacin de la certificacin 24
9.5 Auditoras especiales 24
9.6 Suspender, retirar o reducir el alcance de la certificacin 24
9.7 Apelaciones 24
9.8 Reclamos 25
9.9 Registros relativos a solicitantes y clientes 25
10 Requisitos relativos al sistema de gestin de los organismos de
certificacin 26
10.1 Opciones 26
10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001 26
10.3 Opcin 2 - Requisitos generales del sistema de gestin 26
-
7/27/2019 NCh-ISO 27006-2010-047
3/61
NCh-ISO 27006
III
Contenido
Pgina
Anexos
Anexo A (informativo) Anlisis de la complejidad y aspectos especficos del
sector al que pertenece una organizacin 27
A.1 Potencial de riesgo de la organizacin 27
A.2 Categoras de un sector especfico del riesgo de seguridad de la
informacin 30
Anexo B (informativo) Ejemplos de reas de competencia del auditor 31
B.1 Consideraciones de competencia general 31
B.2 Consideraciones de competencia especfica 31
Anexo C (informativo) Plazo de la auditora 33
C.1 Introduccin 33
C.2 Procedimiento para determinar el plazo de la auditora 33
C.3 Cuadro de plazos del auditor 35
Anexo D (informativo) Directriz para la revisin de los controles implementados
de ISO/IEC 27001:2005, Anexo A 40
D.1 Propsito 40
D.2 Forma de utilizar Tabla D.1 41
Tablas
Tabla A.1 Criterios para la complejidad del alcance del SGSI 28
Tabla D.1 Clasificacin de los controles 42
-
7/27/2019 NCh-ISO 27006-2010-047
4/61
IV
NORMA CHILENA OFICIAL NCh-ISO 27006.Of2010
Tecnologa de la informacin - Tcnicas de seguridad -
Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de gestin de la seguridad de la
informacin
Prembulo
El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el
estudio y preparacin de las normas tcnicas a nivel nacional. Es miembro de la
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION
PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esosorganismos.
Esta norma se estudi a travs del Comit Tcnico Conjunto de caracteres y codificacin,
para especificar los requisitos y entregar una directriz para los organismos que realizan la
auditora y certificacin de un sistema de gestin de la seguridad de la informacin (SGSI),
adems de los requisitos considerados en ISO/IEC 17021 e ISO/IEC 27001.
Esta norma es idntica a la versin en ingls de la Norma Internacional ISO/IEC 27006:2007
Information technology - Security techniques - Requirements for bodies providing audit and
certification of information security management systems.
La Nota explicativa incluida en un recuadro en clusula 2 Referencias normativas, es un
cambio editorial que se incluye con el propsito de informar la correspondencia con norma
chilena de las Normas Internacionales citadas en esta norma.
La norma NCh-ISO 27006 ha sido preparada por la Divisin de Normas del Instituto
Nacional de Normalizacin, y en su estudio el Comit estuvo constituido por las
organizaciones y personas naturales siguientes:
Asesor particular Marcelo Corts San Martn
CODELCO Jorge Gonzlez H.
-
7/27/2019 NCh-ISO 27006-2010-047
5/61
NCh-ISO 27006
V
Instituto Nacional de Normalizacin, INN Manuel Jara M.
Jorge Muoz C.
ISSA Chile Chapter Gonzalo Concha L.
Lucas Adrin Gmez B.Sonda Chile Rodrigo Baldecchi Q.
KPMG Auditores Consultores Ltda. Lucas Adrin Gmez B.
Universidad de Chile, IDIEM Oscar Clasing J.
En forma adicional a las organizaciones que participaron en Comit, el Instituto recibi
respuesta durante el perodo de consulta pblica de esta norma, de:
Asesor particular, Alan Santos C.
Los Anexos A, B, C y D no forman parte de la norma, se insertan slo a ttulo informativo.
Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en
sesin efectuada el 23 de diciembre de 2009.
Esta norma ha sido declarada Oficial de la Repblica de Chile por Resolucin
Administrativa Exenta N217, de fecha 24 de febrero de 2010, del Ministerio de
Economa, Fomento y Turismo, publicada en el Diario Oficial del 02 de marzo de 2010.
-
7/27/2019 NCh-ISO 27006-2010-047
6/61
-
7/27/2019 NCh-ISO 27006-2010-047
7/61
1
NORMA CHILENA OFICIAL NCh-ISO 27006.Of2010
Tecnologa de la informacin - Tcnicas de seguridad -
Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de gestin de la seguridad de la
informacin
0 Introduccin
ISO/IEC 17021 es una Norma Internacional que fija los criterios para los organismos
encargados de la auditora y certificacin de sistemas de gestin de las organizaciones.
Si tales organismos tienen que acreditar que cumplen con ISO/IEC 17021 para auditar y
certificar los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) conforme
con ISO/IEC 27001:2005, se necesitan algunos requisitos y directrices adicionales a
ISO/IEC 17021 que otorga esta norma.
El texto de esta norma mantiene la estructura de ISO/IEC 17021. Los requisitos y las
directrices adicionales especficas del SGSI respecto de la aplicacin de ISO/IEC 17021
para certificar los SGSI se identifican con las letras "SI".
El trmino deber se utiliza en toda esta norma para indicar que esas estipulaciones, al
reflejar los requisitos de ISO/IEC 17021 e ISO/IEC 27001, son obligatorias. El trmino
deberase usa para indicar aquellas estipulaciones, que si bien constituyen una directriz para
la aplicacin de los requisitos, se espera que un organismo de certificacin las adopte.
Un objetivo de esta norma consiste en permitir que organismos de acreditacin unifiquen deforma ms efectiva la aplicacin de las normas respecto de lo que los organismos de
certificacin deben evaluar. En este contexto, cualquier modificacin que efecte un
organismo de certificacin de las directrices constituye una excepcin. Tales variaciones slo
se permitirn luego de que el organismo de certificacin demuestre caso a caso al organismo
acreditador que la excepcin cumple de forma relativamente equivalente la clusula de
requisitos pertinentes de ISO/IEC 17021, ISO/IEC 27001 y el propsito de esta norma.
NOTA - En toda esta norma, los trminos sistema de gestiny sistemase usan de forma intercambiable. La
definicin de sistema de gestin se puede encontrar en ISO 9000:2005. El sistema de gestin como se usa en
esta norma no se debe confundir con otro tipo de sistemas, como los sistemas de tecnologas de la
informacin (TI).
-
7/27/2019 NCh-ISO 27006-2010-047
8/61
NCh-ISO 27006
2
1 Alcance y campo de aplicacin
Esta norma especifica los requisitos y entrega una directriz para los organismos que
realizan la auditora y certificacin de un sistema de gestin de la seguridad de lainformacin (SGSI), adems de los requisitos considerados en ISO/IEC 17021 e
ISO/IEC 27001. Apunta en primer lugar a respaldar la acreditacin de organismos de
certificacin que entregan la certificacin del SGSI.
El cumplimiento de los requisitos contenidos en esta norma se debe demostrar en
cuanto a competencia y fiabilidad del organismo que proporciona la certificacin del
SGSI. Asimismo, la directriz contenida en esta norma entrega interpretacin extra de
estos requisitos para cualquier organismo de certificacin del SGSI.
NOTA - Esta norma se puede usar como un documento que contiene criterios de acreditacin, evaluacin de
pares u otros procesos de auditora.
2 Referencias normativas
Los documentos siguientes son indispensables para la aplicacin de esta norma. Para
referencias con fecha, slo se aplica la edicin citada. Para referencias sin fecha se
aplica la ltima edicin del documento referenciado (incluyendo cualquier enmienda).
ISO/IEC 17021:2006 Evaluacin de la conformidad - Requisitos para los organismos
que realizan la auditora y certificacin de sistemas de gestin.
ISO/IEC 19011 Directrices para la auditora de sistemas de gestin de la calidady/o ambiental.
ISO/IEC 27001:2005 Tecnologa de la informacin - Tcnicas de seguridad - Sistemas
de gestin de la seguridad de la informacin - Requisitos.
NOTA EXPLICATIVA NACIONAL
La equivalencia de las Normas Internacionales sealadas anteriormente con norma chilena, y su grado de
correspondencia es el siguiente:
Norma Internacional Norma nacional Grado de correspondencia
ISO/IEC 17021:2006 NCh-ISO 17021.Of2008 Idntica
ISO/IEC 19011 NCh-ISO 19011.Of2003 Idntica
ISO/IEC 27001:2005 NCh-ISO 27001.Of2009 Idntica
-
7/27/2019 NCh-ISO 27006-2010-047
9/61
NCh-ISO 27006
3
3 Trminos y definiciones
Para los propsitos de esta norma se aplican los trminos y definiciones indicados en
ISO/IEC 17021, ISO/IEC 27001 y adicionalmente los siguientes:
3.1 certificado:documento emitido por un organismo de certificacin de acuerdo con las
condiciones de su acreditacin y conlleva un smbolo o declaracin de acreditacin
3.2 organismo de certificacin: tercera parte, que evala y certifica el SGSI de una
organizacin cliente respecto de normas publicadas del SGSI y la documentacin
suplementaria requerida segn el sistema
3.3 documento de certificacin:documento que indica que el SGSI de una organizacin
cliente concuerda con las normas especficas del SGSI y cualquier documentacin
suplementaria requerida segn el sistema
3.4 marca: marca comercial registrada legalmente u otro smbolo protegido, emitido
segn las reglas de un organismo de acreditacin o de certificacin, que indica que se
ha demostrado la confianza adecuada en los sistemas operados por un organismo o que
los productos o las personas pertinentes cumplen los requisitos de una norma especfica
3.5 organizacin:compaa, corporacin, firma, empresa, autoridad o institucin, o parte
o combinacin de ellos, ya sea incorporados o no, pblicos o privados, que tiene sus
propias funciones y administracin y que puede garantizar que se promueve la seguridad
de la informacin
4 Principios
Se aplican los principios de ISO/IEC 17021:2006, clusula 4.
5 Requisitos generales
5.1 Asuntos legales y contractuales
Se aplican los requisitos de ISO/IEC 17021:2006, 5.1.
5.2 Gestin de la imparcialidad
Se aplican los requisitos de ISO/IEC 17021:2006, 5.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
-
7/27/2019 NCh-ISO 27006-2010-047
10/61
NCh-ISO 27006
4
5.2.1 SI 5.2 Conflictos de intereses
Los organismos de certificacin pueden efectuar las tareas siguientes sin ser considerados
consultoras o tener un posible conflicto de intereses:
a) certificacin, incluidas reuniones informativas, reuniones de planificacin, examen de
documentos, auditora (sin ser auditoras internas del SGSI ni revisiones internas de
seguridad) y seguimientos de no conformidad;
b) organizacin y participacin como orador en cursos de capacitacin, siempre y
cuando en estos cursos relacionados con la gestin de la seguridad de la informacin
y con los sistemas de gestin o auditora, los organismos de certificacin se limiten a
la entrega de informacin y asesora general que sea de dominio pblico, esto es, no
deberan entregar asesora especfica para una compaa en particular porque
contraviene los requisitos del siguiente punto;
c) disposicin o publicacin por solicitud de informacin que describa la interpretacin
que haga el organismo de certificacin de los requisitos exigidos en las normas de
auditora de certificacin;
d) actividades previas a la auditora, que slo apuntan a determinar la disponibilidad
para efectuar una auditora de certificacin. Sin embargo, tales actividades no se
deberan traducir en la entrega de recomendaciones o asesora que contravendra con
esta clusula. El organismo de certificacin debera poder aclarar que tales
actividades no se oponen a estos requisitos y que no se utilizan para justificar una
reduccin en la eventual duracin de la auditora de certificacin;
e) realizacin de auditoras a segundas y terceras partes segn las normas o
regulaciones distintas a las que pertenecen el alcance de la acreditacin;
f) valor agregado durante las auditoras de certificacin o visitas de seguimiento, por
ejemplo, al identificar oportunidades de mejora al resultar evidente durante la
auditora, pero sin recomendar soluciones especficas.
El organismo de certificacin debe ser independiente del (de los) organismo(s) (incluida
cualquier persona) que provea la auditora interna del SGSI de la organizacin cliente
sujeta a certificacin.
5.3 Responsabilidad legal y financiamiento
Se aplican los requisitos de ISO/IEC 17021:2006, 5.3.
-
7/27/2019 NCh-ISO 27006-2010-047
11/61
NCh-ISO 27006
5
6 Requisitos relativos a la estructura
6.1 Estructura de la organizacin y alta direccin
Se aplican los requisitos de ISO/IEC 17021:2006, 6.1.
6.2 Comit para la preservacin de la imparcialidad
Se aplican los requisitos de ISO/IEC 17021:2006, 6.2.
7 Requisitos relativos a los recursos
7.1 Competencia de la direccin y del personal
Se aplican los requisitos de ISO/IEC 17021:2006, 7.1. Adems se aplican la siguientedirectriz y requisitos especficos del SGSI.
7.1.1 SI 7.1 Competencia de gestin
Los elementos esenciales de la competencia requerida para efectuar la certificacin del
SGSI consisten en elegir, proporcionar y encargarse de esas personas cuyas
capacidades y competencia colectiva es adecuada a las actividades que sern auditadas
y a los temas de seguridad de la informacin.
7.1.1.1 Anlisis de competencia y revisin de contratos
El organismo de certificacin debe asegurar que tiene el conocimiento de los avancestecnolgicos y legales pertinentes sobre el SGSI de la organizacin cliente que evala.
El organismo de certificacin debe tener un sistema efectivo para el anlisis de sus
competencias en gestin de la seguridad de la informacin el cual debe estar disponible,
con respecto a todas las reas tcnicas en que el organismo opera.
Para cada cliente, el organismo de certificacin debe poder demostrar que ha efectuado un
anlisis de competencia1) (evaluacin de habilidades en respuesta a las necesidades
valoradas) de los requisitos de cada sector pertinente antes de revisar el contrato. El
organismo de certificacin luego debe revisar el contrato con la organizacin cliente basado
en los resultados de este anlisis de competencia. En particular, el organismo decertificacin debe poder demostrar que tiene la competencia para realizar las actividades
siguientes:
a) comprender las reas de actividad de la organizacin cliente y los riesgos
comerciales asociados;
b) definir las competencias requeridas en el organismo de certificacin para certificar
las vulnerabilidades e impactos sobre la organizacin cliente, respecto de las
actividades identificadas y las amenazas a la seguridad de la informacin a evaluar.
c) confirmar la existencia de las competencias requeridas.
1) Segn NCh-ISO 17021, 4.3 competencia: aptitud demostrada para aplicar los conocimientos y habilidades.
-
7/27/2019 NCh-ISO 27006-2010-047
12/61
NCh-ISO 27006
6
7.1.1.2 Recursos
La direccin del organismo de certificacin debe contar con los procesos y recursos
necesarios que le permitan determinar si auditores individuales son competentes para lastareas que requieren realizar dentro del alcance de certificacin en que estn operando. La
competencia de los auditores se puede establecer con la verificacin de los antecedentes
de la experiencia, y una capacitacin especfica o sesin informativa (ver tambin Anexo
B). El organismo de certificacin se debe poder comunicar eficazmente con todos los
clientes a los que proporciona servicios.
7.2 Personal que interviene en las actividades de certificacin
Se aplican los requisitos de ISO/IEC 17021:2006, 7.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
7.2.1 SI 7.2 Competencia del personal del organismo de certificacin
Los organismos de certificacin deben tener personal competente para:
a) elegir y verificar la competencia de los auditores del SGSI para que se integren a
equipos apropiados para efectuar la auditora;
b) dar instrucciones previas a los auditores del SGSI y organizar cualquier capacitacin
que sea necesaria;
c)
tomar decisiones sobre el otorgamiento, la mantencin, el retiro, la suspensin, laextensin o la reduccin de las certificaciones;
d) establecer y administrar un proceso de apelaciones y reclamos.
7.2.1.1 Capacitacin de los equipos de auditora
El organismo de certificacin debe contar con los criterios para capacitar a los equipos
de auditora para garantizar:
a) conocimiento de la norma del SGSI y otros documentos normativos pertinentes;
b) comprensin de la seguridad de la informacin;
c) comprensin de la evaluacin de riesgos y la gestin de riesgos desde una
perspectiva comercial;
d) conocimiento tcnico de la actividad que ser auditada;
e) conocimiento general de requisitos regulatorios pertinentes a los SGSI;
f) conocimiento de los sistemas de gestin;
-
7/27/2019 NCh-ISO 27006-2010-047
13/61
NCh-ISO 27006
7
g) comprensin de los principios de auditora basados en ISO 19011;
h) conocimiento de la revisin de la efectividad del SGSI y medicin de la efectividad
del control.
Estos requisitos de capacitacin se aplican a todos los miembros del equipo de auditora,
con la excepcin de d), que se puede compartir entre los miembros del equipo de
auditora.
7.2.1.1.1Al elegir el equipo para una auditora de certificacin especfica, el organismo
de certificacin debe garantizar que se cuentan con las habilidades apropiadas para cada
tarea. El equipo debe:
a) tener un conocimiento tcnico apropiado de las actividades especficas dentro del
alcance del SGSI para el que se solicita la certificacin y, cuando sea pertinente,procedimientos asociados y sus riesgos potenciales de seguridad de la informacin
(expertos tcnicos que no son auditores pueden cumplir esta funcin);
b) tener un grado suficiente de conocimiento de la organizacin cliente para efectuar
una auditora de certificacin confiable de su SGSI sobre los aspectos de seguridad
de la informacin en relacin a sus actividades, productos y servicios;
c) tener un conocimiento apropiado de los requisitos regulatorios aplicables al SGSI de
la organizacin cliente.
7.2.1.1.2 Cuando se requiera, el equipo de auditora se puede complementar conexpertos tcnicos que puedan demostrar competencia especfica en un campo de
tecnologa apropiado para la auditora. Se debe destacar que los expertos tcnicos no
pueden operar en reemplazo de auditores del SGSI, pero podran asesorar a auditores
sobre temas de adecuacin tcnica en el contexto del sistema de gestin que est
siendo auditado. El organismo de certificacin debe tener un procedimiento para:
a) seleccionar auditores y expertos tcnicos sobre la base de su competencia,
capacitacin, calificaciones y experiencia;
b) evaluar inicialmente el proceder de los auditores y expertos tcnicos durante las
auditoras de certificacin y, posteriormente monitorear su desempeo.
7.2.1.2 Gestin del proceso de toma de decisiones
La funcin de direccin debe tener la competencia y capacidad tcnica para gestionar el
proceso de toma de decisiones respecto del otorgamiento, mantencin, extensin,
reduccin, suspensin y retiro de la certificacin del SGSI segn los requisitos
de ISO/IEC 27001.
-
7/27/2019 NCh-ISO 27006-2010-047
14/61
NCh-ISO 27006
8
7.2.1.3 Niveles de prerrequisitos de educacin, experiencia laboral, capacitacin en
auditora y experiencia de auditores para realizar auditoras del SGSI
7.2.1.3.1 Los criterios siguientes se deben aplicar a cada auditor en el equipo deauditora del SGSI. El auditor debe:
a) tener educacin secundaria;
b) tener al menos cuatro aos de experiencia prctica a tiempo completo en tecnologa
de la informacin, de los cuales al menos dos aos haber desempeado un papel o
funcin relacionada con seguridad de la informacin;
c) haber completado cinco das de capacitacin adecuada que cubran auditora del SGSI
y gestin de auditora;
d) tener experiencia en todo el proceso de evaluacin de la seguridad de la informacin
antes de asumir responsabilidad para actuar como auditor. Esta experiencia se
debera obtener al participar en un mnimo de cuatro auditoras de certificacin por
un total de al menos 20 das y que abarque la revisin de documentacin y anlisis
de riesgos, evaluacin de implementacin e informe de auditora;
e) contar con experiencia que sea razonablemente actual;
f) ser capaz de poner operaciones complejas en una perspectiva general y comprender
la funcin de unidades individuales en organizaciones clientes ms grandes;
g) mantener actualizados el conocimiento y habilidades en seguridad de la informacin
y auditora mediante el desarrollo profesional continuo.
Los expertos tcnicos debe cumplir con los criterios a), b), e) y f).
7.2.1.3.2Adems de los requisitos en 7.2.1.3.1, los lderes de los equipos de auditora
deben cumplir los requisitos siguientes, que deben demostrar en auditoras guiadas y
bajo supervisin:
a) tener conocimiento y atributos para gestionar el proceso de auditora de
certificacin;
b) haber sido auditor en al menos tres auditoras del SGSI completas;
c) haber demostrado la capacidad para comunicarse con eficacia, tanto oralmente como
por escrito.
-
7/27/2019 NCh-ISO 27006-2010-047
15/61
NCh-ISO 27006
9
7.3 Empleo de auditores externos y expertos tcnicos externos individuales
Se aplican los requisitos de ISO/IEC 17021:2006, 7.3. Adems se aplican las siguientes
directrices y requisitos especficos del SGSI.
7.3.1 SI 7.3 Empleo de auditores externos o expertos tcnicos externos como parte del
equipo de auditora
Al utilizar auditores individuales externos o expertos tcnicos externos como parte del
equipo de auditora, el organismo de certificacin debe garantizar que son competentes
y que cumplen con las estipulaciones aplicables de esta norma y que no estn
involucrados -ya sea directamente o a travs de su empleador- con el diseo,
implementacin o mantenimiento de un SGSI o sistema(s) de gestin relacionado, de tal
forma que se pueda comprometer la imparcialidad.
7.3.1.1 Empleo de expertos tcnicos
Pueden ser parte del equipo de auditora expertos tcnicos con conocimiento especfico
sobre el proceso, temas de seguridad de la informacin y la legislacin que afecta la
organizacin cliente, pero que no satisfacen todos los criterios de 7.2. Los expertos
tcnicos deben operar bajo la supervisin de un auditor.
7.4 Registros relativos al personal
Se aplican los requisitos de ISO/IEC 17021:2006, 7.4.
7.5 Contratacin externa (outsourcing)
Se aplican los requisitos de ISO/IEC 17021:2006, 7.5.
8 Requisitos relativos a la informacin
8.1 Informacin accesible al pblico
Se aplican los requisitos de ISO/IEC 17021:2006, 8.1. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
8.1.1 SI 8.1 Procedimientos para otorgar, mantener, extender, reducir, suspender y
retirar una certificacin
El organismo de certificacin debe requerir que la organizacin cliente cuente con un
SGSI documentado e implementado que cumpla con ISO/IEC 27001 y otros documentos
requeridos para la certificacin.
-
7/27/2019 NCh-ISO 27006-2010-047
16/61
NCh-ISO 27006
10
El organismo de certificacin debe tener procedimientos documentados para:
a) la auditora inicial de certificacin del SGSI de la organizacin cliente, conforme con
lo establecido en ISO 19011 e ISO/IEC 17021 y otros documentos pertinentes;
b) las auditoras de seguimiento y de renovacin de la certificacin del ISMS de la
organizacin cliente segn ISO 19011 e ISO/IEC 17021 de forma peridica para
lograr una conformidad continua con los requisitos pertinentes y para verificar y
registrar que una organizacin cliente toma acciones correctivas de forma oportuna
para corregir todas las no conformidades.
8.2 Documentos de certificacin
Se aplican los requisitos de ISO/IEC 17021:2006, 8.2. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
8.2.1 SI 8.2 Documentos de certificacin del SGSI
El organismo de certificacin debe proporcionar a cada organizacin cliente, cuyo SGSI
sea certificado, documentos de certificacin tales como una carta o certificado firmado
por un funcionario al que se le ha asignado esa responsabilidad. Para la organizacin
cliente y cada uno de sus sistemas de informacin cubiertos por la certificacin, estos
documentos deben identificar el alcance de la certificacin otorgada e ISO/IEC 27001
del SGSI, mediante la cual el SGSI es certificado. Adems, el certificador debera incluir
una referencia a la versin especfica de la Declaracin de Aplicabilidad.
8.3 Directorio de clientes certificados
Se aplican los requisitos de ISO/IEC 17021:2006, 8.3.
8.4 Referencia a la certificacin y utilizacin de marcas
Se aplican los requisitos de ISO/IEC 17021:2006, 8.4. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
8.4.1 SI 8.4 Control de marcas de certificacin
El organismo de certificacin debe ejercer un control apropiado sobre la propiedad, uso y
presentacin de sus marcas de certificacin del SGSI. Si el organismo de certificacin
confiere el derecho para utilizar una marca con el fin de indicar la certificacin de un
SGSI, el organismo de certificacin debera garantizar que la organizacin cliente utiliza
la marca especfica slo como est autorizada por escrito por el organismo de
certificacin. El organismo de certificacin no debe facultar a la organizacin cliente a
utilizar esta marca en un producto o de una forma que se pueda interpretar como
conformidad respecto del producto.
-
7/27/2019 NCh-ISO 27006-2010-047
17/61
NCh-ISO 27006
11
8.5 Confidencialidad
Se aplican los requisitos de ISO/IEC 17021:2006, 8.5. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
8.5.1 SI 8.5 Acceso a registros organizacionales
Antes de la auditora de certificacin, el organismo de certificacin debe preguntar a la
organizacin cliente si existe algn registro del SGSI que el equipo de auditora no pueda
conocer para su revisin, debido a que contiene informacin confidencial o sensible. El
organismo de certificacin debe determinar si el SGSI se puede auditar de forma
adecuada sin esos registros. Si el organismo de certificacin concluye que no es posible
realizar la auditora al SGSI de forma adecuada, sin revisar los registros identificados
como confidenciales o sensibles, debe informar a la organizacin cliente que la auditora
de certificacin no se puede realizar hasta que se logre un acuerdo apropiado sobre suacceso.
8.6 Intercambio de informacin entre un organismo de certificacin y sus clientes
Se aplican los requisitos de ISO/IEC 17021:2006, 8.6.
9 Requisitos relativos a los procesos
9.1 Requisitos generales
Se aplican los requisitos de ISO/IEC 17021:2006, 9.1. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
9.1.1 SI 9.1.1 Requisitos generales de auditora del SGSI
9.1.1.1 Criterios de auditora de certificacin
Los criterios contra los que se audita el SGSI de un cliente, deben ser aquellos que se
describen en ISO/IEC 27001 del SGSI y otros documentos requeridos para la
certificacin pertinente a la funcin realizada. Si se requiere una explicacin en cuanto a
la aplicacin de estos documentos a un programa de certificacin especfico, entoncesesa explicacin debe ser dada por un comit pertinente e imparcial, o personas que
posean la competencia tcnica necesaria, adems de ser publicada por el organismo de
certificacin.
9.1.1.2 Polticas y procedimientos
La documentacin del organismo de certificacin debe incluir la poltica y los
procedimientos para implementar el proceso de certificacin, incluidas verificaciones
sobre el uso y la aplicacin de documentos usados en la certificacin del SGSI y los
procedimientos para auditar y certificar el SGSI de la organizacin cliente.
-
7/27/2019 NCh-ISO 27006-2010-047
18/61
NCh-ISO 27006
12
9.1.1.3 Equipo de auditora
El equipo de auditora debe ser designado formalmente y provisto de los documentos de
trabajo adecuados. El plan y la fecha de la auditora se deben acordar con la
organizacin cliente. El mandato otorgado al equipo de auditora se debe definir
claramente y darlo a conocer a la organizacin cliente. Tambin se debe requerir que el
equipo de auditora examine la estructura, las polticas y los procedimientos de la
organizacin cliente, y confirmar que se cumplan todos los requisitos pertinentes para el
alcance de la certificacin y que se implementen los procedimientos y sean tales que
entreguen confianza en el SGSI de la organizacin cliente.
9.1.2 SI 9.1.2 Alcance de la certificacin
El equipo de auditora debe auditar el SGSI de la organizacin cliente cubierto por el
alcance definido, contra todos los requisitos de certificacin aplicables. El organismo de
certificacin debe garantizar que el alcance y lmites del SGSI de la organizacin clienteestn claramente definidos en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa. El organismo de certificacin debe
confirmar que las organizaciones clientes, en el alcance de su SGSI, cumplen con los
requisitos establecidos en ISO/IEC 27001:2005, 1.2.
Los organismos de certificacin deben garantizar que la evaluacin del riesgo de la seguridad
de la informacin de una organizacin cliente y que el tratamiento del riesgo, reflejan sus
actividades y se extienden a los lmites de sus actividades segn se define en ISO/IEC 27001
del SGSI. Los organismos de certificacin deben confirmar que esto se refleja en el alcance
del SGSI y la Declaracin de Aplicabilidad de la organizacin cliente.
Los organismos de certificacin deben garantizar que las interfaces con servicios o
actividades que no se encuentran completamente dentro del alcance del SGSI sean
abordadas dentro del SGSI sujeto a certificacin y que sean incluidos en la evaluacin
de riesgos de seguridad de la informacin perteneciente a la organizacin cliente. Un
ejemplo de tal situacin es el compartir instalaciones (por ejemplo, sistemas de TI, bases
de datos y sistemas de telecomunicaciones) con otras organizaciones.
9.1.3 SI 9.1.3 Plazo de auditora
Los organismos de certificacin deben permitir que los auditores tengan el tiempo
suficiente para efectuar las actividades relacionadas con la auditora inicial, la auditora
de seguimiento y la auditora de renovacin de la certificacin2). El tiempo asignado sedebera basar en factores como:
a) el tamao del alcance del SGSI (por ejemplo, cantidad de sistemas de la informacin
utilizados, cantidad de empleados);
b) complejidad del SGSI (por ejemplo, criticidad de los sistemas de informacin,
situacin de riesgo del SGSI), ver tambin Anexo A;
c) el (los) tipo(s) de negocio(s) realizado(s) dentro del alcance del SGSI;
2) En ingls: recertification audit.
-
7/27/2019 NCh-ISO 27006-2010-047
19/61
NCh-ISO 27006
13
d) extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos
componentes del SGSI (como los controles implementados, la documentacin y/o el
control de procesos, acciones correctivas/preventivas, etc.);
e) cantidad de sitios3);
f) desempeo demostrado anteriormente del SGSI;
g) extensin de la contratacin externa (outsourcing) y organizacin de terceros
considerados en el alcance del SGSI;
h) normas y regulaciones que se aplican a la certificacin.
El Anexo C otorga una directriz sobre el plazo de auditora. El organismo de certificacin
debe estar preparado para respaldar o justificar el plazo usado en cualquier auditora
inicial, auditoras de seguimiento y auditora de renovacin de la certificacin.
9.1.4 SI 9.1.4 Sitios mltiples
9.1.4.1Las decisiones sobre muestras de diversos sitios respecto de la certificacin del
SGSI son ms complejas que las mismas decisiones para los sistemas de gestin de la
calidad. Donde una organizacin cliente tiene una serie de sitios que cumplen los
criterios descritos de a) a c), los organismos de certificacin pueden considerar el uso de
un enfoque en base a una muestra para una auditora de certificacin de multisitios:
a) todos los sitios estn operando bajo el mismo SGSI, que se administra y audita
centralmente y est sujeto a la revisin central por la direccin;
b) todos los sitios se incluyen en el programa de auditora interna del SGSI
perteneciente a la organizacin cliente;
c) todos los sitios se incluyen en el programa de revisin por la direccin del SGSI
perteneciente a la organizacin cliente.
9.1.4.2 El organismo de certificacin que desea utilizar un enfoque en base a una
muestra debe contar con procedimientos vigentes para garantizar lo siguiente:
a)
La revisin inicial del contrato identifica, con la mayor amplitud posible, la diferenciaentre los sitios de modo tal que se determine un nivel adecuado de muestras.
b) El organismo de certificacin toma una muestra de una cantidad representativa de
sitios y considera:
1) los resultados de auditoras internas de la oficina principal y los sitios,
2) los resultados de la revisin por la direccin,
3) variaciones del tamao de los sitios,
3) Sitio: Lugar fsico cubierto por el alcance.
-
7/27/2019 NCh-ISO 27006-2010-047
20/61
NCh-ISO 27006
14
4) variaciones del propsito comercial de los sitios,
5) complejidad del SGSI,
6) complejidad de los sistemas de informacin en los distintos sitios,
7) variaciones en las prcticas de trabajo,
8) variaciones en las actividades que se emprenden,
9) posible interaccin con sistemas de informacin crticos o sistemas de
informacin que procesan informacin sensible,
10) cualquier requisito legal discrepante.
c) Se selecciona una muestra representativa de todos los sitios dentro del alcance del
SGSI de la organizacin cliente. Esta seleccin se debera basar en una eleccin
evaluativa para reflejar los factores presentados en b) as como el hecho de ser un
elemento aleatorio.
d) Cada sitio incluido en el SGSI, que est sujeto a riesgos significativos, es auditado
por el organismo de certificacin antes de la certificacin.
e) El programa de seguimiento se ha diseado a la luz de los requisitos descritos
anteriormente y cubre todos los sitios de la organizacin cliente o dentro del alcance
de la certificacin del SGSI en un perodo razonable.
f) En el caso de que exista no conformidad, en la oficina principal o en un solo sitio, se
aplica el procedimiento de accin correctiva a la oficina principal y a todos los sitios
que cubre el certificado.
La auditora descrita en SI 9.1.5 debe abordar las actividades de la oficina principal de la
organizacin cliente para garantizar que se aplica un solo SGSI a todos los sitios y que
brinda gestin central a nivel operacional. La auditora debe abordar todos los temas
descritos anteriormente.
9.1.5 SI 9.1.5 Metodologa de la auditora
El organismo de certificacin debe contar con los procedimientos considerados para que
la organizacin cliente pueda demostrar la programacin de las auditoras internas del
SGSI, y que el programa y los procedimientos estn operando y que pueden comprobar
su operacin.
Los procedimientos del organismo de certificacin no deberan presuponer una forma
particular de implementacin de un SGSI o un formato particular para la documentacin
y los registros. Los procedimientos de certificacin se deben concentrar en establecer
que el SGSI de una organizacin cliente cumple con los requisitos de ISO/IEC 27001 y
las polticas y objetivos de la organizacin cliente.
-
7/27/2019 NCh-ISO 27006-2010-047
21/61
NCh-ISO 27006
15
El plan de auditora debera identificar las tcnicas de auditora asistidas en red que se
utilizarn durante la auditora, segn sea pertinente.
NOTA - Las tcnicas de auditora asistidas en red pueden incluir, por ejemplo, teleconferencias, reunionespor Internet, comunicaciones interactivas por Internet y acceso electrnico remoto a la documentacin del
SGSI y/o a los procesos del SGSI. El alcance de tales tcnicas se debera ampliar a la efectividad y eficiencia
de la auditora y debera ser un respaldo a la integridad del proceso de auditora.
9.1.6 SI 9.1.6 Informe de auditora de certificacin
9.1.6.1El organismo de certificacin puede adoptar procedimientos para los informes
segn sus necesidades, pero como mnimo estos procedimientos deben garantizar que:
a) se efecte una reunin entre el equipo de auditora y la direccin de la organizacin
cliente antes de dejar las instalaciones de la organizacin cliente donde el equipo de
auditora da:
1) una indicacin escrita u oral sobre la conformidad del SGSI de la organizacin
cliente con los requisitos particulares de certificacin,
2) una oportunidad para que la organizacin cliente haga preguntas sobre los
hallazgos y sus fundamentos;
b) el equipo de auditora proporciona al organismo de certificacin un informe de
auditora de sus hallazgos con respecto a la conformidad del SGSI de la organizacin
cliente con todos los requisitos de certificacin.
9.1.6.2 El informe de auditora debera entregar la informacin siguiente:
a) una cuenta de la auditora que incluya un resumen de la revisin del documento;
b) una cuenta de la auditora de certificacin del anlisis de riesgos sobre la seguridad
de la informacin perteneciente a la organizacin cliente;
c) plazo total de auditora utilizado y especificacin detallada del tiempo destinado a la
revisin del documento, evaluacin del anlisis de riesgos, auditora in situ e informe
de auditora;
d) consultas hechas sobre la auditora, fundamento para su seleccin y metodologa
empleada.
9.1.6.3 El informe de auditora de los hallazgos otorgado por el organismo de
certificacin debe ser suficientemente detallado para facilitar y respaldar una decisin de
certificacin y debe contener:
a) reas cubiertas por la auditora (por ejemplo, los requisitos de certificacin y los
sitios que se auditaron), incluidos antecedentes importantes de la auditora y sus
metodologas utilizadas (ver SI 9.1.5);
-
7/27/2019 NCh-ISO 27006-2010-047
22/61
NCh-ISO 27006
16
b) observaciones realizadas, tanto positivas (por ejemplo, caractersticas dignas de
destacar) como negativas (por ejemplo, posibles no conformidades);
c)
detalles de no conformidades identificadas, respaldadas por evidencia objetiva y unareferencia de ellas respecto de los requisitos de ISO/IEC 27001 del SGSI u otros
documentos requeridos para la certificacin;
d) comentarios sobre la conformidad del SGSI de la organizacin cliente con los
requisitos de certificacin y una clara declaracin de no conformidad, una referencia
a la versin de la Declaracin de Aplicabilidad y, donde sea aplicable, una
comparacin til con los resultados de anteriores auditoras de certificacin de la
organizacin cliente.
Cuestionarios completos, as como lista de verificacin, observaciones, registros o notas
del auditor podran formar parte integral del informe de auditora. Si se utilizan estosmtodos, se deben presentar estos documentos al organismo de certificacin como
evidencia para respaldar la decisin de certificacin. Se debera incluir informacin sobre
las muestras evaluadas durante la auditora en el informe de auditora o en otra
documentacin de certificacin.
El informe debe considerar la adecuacin de la organizacin interna y los procedimientos
adoptados por la organizacin cliente para entregar confianza en el SGSI.
Adems de los requisitos para informar establecidos en ISO/IEC 17021:2006, 9.1.10 el
informe debera cubrir:
- el grado de confianza que se puede tener en las auditoras internas del SGSI y las
revisiones por la direccin;
- un resumen de las observaciones ms importantes, tanto positivas como negativas,
sobre la implementacin y efectividad del SGSI;
- la recomendacin del equipo de auditora sobre la necesidad de certificar o no el
SGSI de la organizacin cliente con informacin que sustente esta recomendacin.
9.2 Auditora inicial y certificacin
Se aplican los requisitos de ISO/IEC 17021:2006, 9.2. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
9.2.1 SI 9.2.1 Competencia del equipo de auditora
Los requisitos siguientes se aplican a la evaluacin de certificacin, adems de los
requisitos que se enumeran en 7.2. Para actividades de vigilancia se aplican slo
aquellos requisitos que son pertinentes para el seguimiento programado.
-
7/27/2019 NCh-ISO 27006-2010-047
23/61
NCh-ISO 27006
17
Los requisitos siguientes se aplican a todo el equipo de auditora.
a) Al menos un integrante del equipo de auditora debe satisfacer los criterios del
organismo de certificacin para asumir la responsabilidad dentro del equipo en cadauna de las reas siguientes:
1) direccin del equipo,
2) sistemas de gestin y proceso aplicable al SGSI,
3) conocimiento de los requisitos legislativos y regulatorios en el campo particular
de seguridad de la informacin,
4) identificacin de la seguridad de la informacin relacionada con amenazas y
tendencias de incidentes,
5) identificacin de las vulnerabilidades de la organizacin cliente y comprensin de
la probabilidad de su explotacin, su impacto, y mitigacin y control,
6) conocimiento de los controles del SGSI y su implementacin,
7) conocimiento de la revisin de la efectividad del SGSI y medicin de los
controles,
8) normas del SGSI relacionadas y/o pertinentes, mejores prcticas de la industria,
polticas y procedimientos de seguridad,
9) conocimiento de mtodos de manejo de incidentes y continuidad del negocio,
10) conocimiento sobre activos tangibles e intangibles de informacin y anlisis de
impacto,
11) conocimiento de la actual tecnologa donde la seguridad podra ser pertinente o
un tema a tratar,
12) conocimiento de los procesos y mtodos de gestin de riesgos;
b) El equipo de auditora debe ser competente para rastrear indicios de incidentes de
seguridad en el SGSI de la organizacin cliente respecto de los elementes apropiados
del SGSI.
c) El equipo de auditora debe tener la experiencia laboral apropiada y aplicacin
prctica de los temes mencionados anteriormente (esto no significa que un auditor
requiere un amplio rango de experiencia en todas las reas de seguridad de la
informacin, pero todo el equipo de auditora debera tener el suficiente conocimiento
y experiencia para cubrir el alcance del SGSI que se audita).
Un equipo de auditora puede consistir de una persona siempre que cumpla todos los
criterios fijados en a).
-
7/27/2019 NCh-ISO 27006-2010-047
24/61
NCh-ISO 27006
18
9.2.1.1 SI 9.2.1.1 Demostracin de competencia del auditor
Los auditores deben tener la capacidad para demostrar su conocimiento y experiencia,
como se describe anteriormente, por ejemplo a travs de:
a) calificaciones especficas reconocidas sobre el SGSI;
b) registro como auditor;
c) cursos de capacitacin aprobados sobre el SGSI;
d) antecedentes actualizados del desarrollo profesional constante;
e) demostracin prctica a travs de auditores presenciales que efectan el proceso de
auditora del SGSI con sistemas de clientes reales.
9.2.2 SI 9.2.2 Preparaciones generales para la auditora inicial
El organismo de certificacin debe requerir que la organizacin cliente haga todos los
arreglos necesarios para efectuar la auditora de certificacin, lo que incluye la entrega
de documentacin que se pueda examinar y el acceso a todas las reas, registros
(incluidos informes de auditora interna e informes de revisiones independientes de la
seguridad de la informacin) y el personal para la auditora de certificacin, auditora de
renovacin de la certificacin y resolucin de reclamos.
El cliente debe al menos entregar la informacin siguiente antes de la auditora decertificacin in situ:
a) informacin general sobre el SGSI y las actividades que cubre;
b) copia de la documentacin del SGSI requerida en ISO/IEC 27001:2005, 4.3.1 y,
donde sea necesario, documentacin asociada.
9.2.3 SI 9.2.3 Auditora inicial de certificacin
9.2.3.1 SI 9.2.3 Etapa 1 de la auditora
En esta etapa de auditora, el organismo de certificacin debe obtener la documentacin
sobre el diseo del SGSI que cubra la documentacin requerida en ISO/IEC 27001,
4.3.1.
El objetivo de la etapa 1 de la auditora consiste en proporcionar un enfoque para la
planificacin de la etapa 2 de la auditora al comprender el SGSI en el contexto de la
poltica y objetivos del SGSI de la organizacin cliente y, en particular, de su estado de
preparacin para la auditora.
-
7/27/2019 NCh-ISO 27006-2010-047
25/61
NCh-ISO 27006
19
La etapa 1 de la auditora incluye, pero no se debera restringir, la revisin de la
documentacin. El organismo de certificacin debe acordar con la organizacin cliente cundo
y dnde se realizar la revisin de la documentacin. En todos los casos, la revisin de la
documentacin se debe completar antes de comenzar la etapa 2 de la auditora.
Los resultados de la etapa 1 de la auditora se deben documentar en un informe por
escrito. El organismo de certificacin debe revisar el informe de la etapa 1 de la auditora
antes de decidir seguir con la etapa 2 y para elegir a los integrantes del equipo de la
etapa 2 de la auditora que tengan la competencia necesaria.
El organismo de certificacin debe dar a conocer a la organizacin que se podra
necesitar ms informacin y antecedentes para efectuar un examen detallado durante la
etapa 2 de la auditora.
9.2.3.2 SI 9.2.3.2 Etapa 2 de la auditora
9.2.3.2.1La etapa 2 de la auditora siempre se realiza in situ en la organizacin cliente.
Sobre la base de los hallazgos detallados en el informe de la etapa 1 de la auditora, el
organismo de certificacin elabora un plan de auditora para efectuar la etapa 2. Los
objetivos de la etapa 2 de la auditora son:
a) confirmar que la organizacin cliente cumple sus propias polticas, objetivos y
procedimientos;
b) confirmar que el ISMS cumple todos los requisitos de ISO/IEC 27001 del SGSI y que
logra los objetivos de la poltica que ha emprendido la organizacin cliente.
9.2.3.2.2 Para ello, la auditora se debe concentrar en ciertas caractersticas de la
organizacin cliente como:
a) evaluacin de riesgos relacionados con la seguridad de la informacin y que las
evaluaciones produzcan resultados comparables y reproducibles;
b) requisitos de documentacin detallados en ISO/IEC 27001:2005, 4.3.1;
c) seleccin de los objetivos de control y controles basados en la evaluacin de riesgos
y los procesos de tratamiento de riesgos;
d) revisin de la efectividad del SGSI y las mediciones de la efectividad de los controles
de la seguridad de la informacin para informar y revisarlos respecto de los objetivos
del SGSI;
e) auditoras internas del SGSI y revisiones por la direccin;
f) responsabilidad de la direccin en la poltica de seguridad de la informacin;
g) correspondencia entre los controles elegidos e implementados, la Declaracin de
Aplicabilidad y los resultados de la evaluacin de riesgos y el proceso de tratamiento
de riesgos, as como la poltica y objetivos del SGSI;
-
7/27/2019 NCh-ISO 27006-2010-047
26/61
NCh-ISO 27006
20
h) implementacin de controles (ver Anexo D), tomando en consideracin las
mediciones de efectividad que tiene la organizacin respecto de los controles
[ver d)], para determinar si se implementan los controles y cules pueden lograr los
objetivos estipulados;
i) programas, procesos, procedimientos, registros, auditoras internas y revisiones de la
efectividad del SGSI para garantizar que sean trazables para las decisiones de la
direccin y la poltica y objetivos del SGSI.
9.2.3.3 SI 9.2.3.3 Elementos especficos para la auditora del SGSI
El papel del organismo de certificacin consiste en establecer que las organizaciones
cliente sean consistentes en establecer y mantener los procedimientos para la
identificacin, examen y evaluacin de las amenazas, relacionadas a la seguridad de la
informacin frente a los activos, vulnerabilidades e impactos sobre la organizacincliente. Los organismos de certificacin deben:
- requerir que la organizacin cliente demuestre que el anlisis de las amenazas
relacionadas con la seguridad sea pertinente y adecuado para la operacin de dicha
organizacin;
NOTA - La organizacin cliente es responsable de definir los criterios mediante los cuales los riesgos de
seguridad de la informacin de la organizacin cliente se consideran importantes, como para desarrollar
procedimiento(s) para su ejecucin.
- establecer si los procedimientos de la organizacin cliente para la identificacin,
examen y evaluacin de las amenazas, relacionadas con la seguridad de lainformacin en relacin a activos, vulnerabilidades e impactos, y los resultados de su
aplicacin son consistentes con la poltica, objetivos y metas de la organizacin
cliente.
El organismo de certificacin tambin debe establecer si los procedimientos empleados
en el anlisis de significacin son importantes y se han implementado de forma
apropiada. Si se identifica como significativa una amenaza relacionada con la seguridad
de la informacin respecto de los activos, una vulnerabilidad o un efecto sobre la
organizacin cliente, se debe gestionar dentro del SGSI.
9.2.3.3.1 Cumplimiento regulatorio y legal
El mantenimiento y la evaluacin del cumplimiento legal y regulatorio es responsabilidad
de la organizacin cliente. El organismo de certificacin se debe restringir a verificar y
tomar muestras para establecer la confianza de que el SGSI funciona. Asimismo, debe
verificar que la organizacin cliente tenga un sistema de gestin para lograr el
cumplimiento legal y regulatorio aplicable para los riesgos de seguridad de la informacin
y sus impactos.
-
7/27/2019 NCh-ISO 27006-2010-047
27/61
NCh-ISO 27006
21
9.2.3.3.2 Integracin de la documentacin del SGSI con aquella de otros sistemas de
gestin
La organizacin cliente puede integrar la documentacin del SGSI con otros sistemas degestin (tales como de calidad, ambiental y salud y seguridad) siempre que el SGSI se
pueda identificar claramente junto con las interfaces adecuadas para otros sistemas.
9.2.3.3.3 Combinacin de auditora de sistemas de gestin
Un organismo de certificacin puede ofrecer otra certificacin de sistema de gestin
vinculada a la del SGSI o slo la certificacin del SGSI.
La auditora del SGSI se puede combinar con auditoras de otros sistemas de gestin.
Esta combinacin es posible si se puede demostrar que la auditora satisface todos los
requisitos para la certificacin del SGSI. Todos los elementos importantes para un SGSIdeben aparecer con claridad e identificarse con facilidad en los informes de auditora. La
calidad de la auditora no se debe ver perjudicada por la combinacin de auditoras.
NOTA - ISO 19011 proporciona directrices para efectuar auditoras combinadas de sistemas de gestin.
9.2.4 SI 9.2.4 Informacin para el otorgamiento de la certificacin inicial
Para proporcionar una base que permita tomar una decisin sobre la certificacin, el
organismo de certificacin debe requerir informes claros que entreguen informacin
suficiente para tomar dicha decisin.
El organismo de certificacin requiere informes del equipo de auditora en varias etapas
durante el proceso de auditora de la certificacin que entrega. Junto con informacin
contenida en archivos, estos informes deberan al menos contener la informacin
requerida en SI 9.1.6.
9.2.5 SI 9.2.5 Decisin de certificacin
La entidad -que podra ser una persona y que toma la decisin sobre otorgar/retirar una
certificacin dentro del organismo de certificacin- debera reunir un nivel de
conocimiento y experiencia en todas las reas y que sea suficiente para evaluar los
procesos de auditora y las recomendaciones asociadas elaboradas por el equipo de
auditora.
La decisin de certificar el SGSI de una organizacin cliente la debe tomar el organismo
de certificacin sobre la base de la informacin reunida durante el proceso de
certificacin y cualquier otra informacin pertinente. Quienes toman la decisin sobre la
certificacin no deben haber participado en la auditora. Esta decisin se debe basar en
hallazgos y la recomendacin de la certificacin del equipo de auditora como se indica
en el informe de auditora de certificacin (ver SI 9.1.6) y alguna otra informacin
pertinente que est disponible para el organismo de certificacin.
-
7/27/2019 NCh-ISO 27006-2010-047
28/61
NCh-ISO 27006
22
La entidad que toma la decisin de otorgar la certificacin no debera, por lo general,
revocar una recomendacin negativa del equipo de auditora. Si ocurre esta situacin, el
organismo de certificacin debe documentar y justificar el fundamento de la decisin
para revocar la recomendacin.
Con respecto a la decisin sobre la certificacin, ISO/IEC 17021 no menciona un
perodo especfico en que al menos se deba realizar una auditora interna completa del
SGSI y una revisin por la direccin del SGSI de la organizacin cliente. El organismo de
certificacin puede especificar un perodo determinado. Independiente de si el organismo
de certificacin ha elegido especificar una frecuencia mnima, se deben establecer
acciones para garantizar la efectividad de la revisin por la direccin de la organizacin
cliente y sus procesos internos de auditora del SGSI.
No se debe otorgar la certificacin a la organizacin cliente hasta que exista evidencia
suficiente que demuestre que se han implementado arreglos para las revisiones por ladireccin y auditoras internas del SGSI, que son efectivas y que se mantendrn.
9.3 Actividades de vigilancia
Se aplican los requisitos de ISO/IEC 17021:2006, 9.3. Adems se aplican la siguiente
directriz y requisitos especficos del SGSI.
9.3.1 SI 9.3 Auditoras de seguimiento
9.3.1.1 Los procedimientos de auditora de seguimiento deben ser consistentes con
aquellos relacionados con la auditora de certificacin del SGSI de la organizacin clientecomo se describe en esta norma.
El propsito del seguimiento es verificar que el SGSI se siga implementando para
considerar las implicancias de los cambios a ese sistema que se inici como resultado de
cambios en la operacin de la organizacin cliente y para confirmar un cumplimiento
constante con los requisitos de la certificacin. Los programas de seguimiento deberan
cubrir por lo general:
a) los elementos del mantenimiento del sistema que corresponden a una auditora
interna del SGSI, revisin por la direccin y acciones preventivas y correctivas;
b) comunicaciones de las partes externas como lo requiere ISO/IEC 27001 del SGSI y
otros documentos que se necesitan para la certificacin;
c) cambios al sistema documentado;
d) reas sujetas a modificacin;
e) elementos seleccionados de ISO/IEC 27001;
f) otras reas seleccionadas como apropiadas.
-
7/27/2019 NCh-ISO 27006-2010-047
29/61
NCh-ISO 27006
23
9.3.1.2 Como mnimo, el organismo de certificacin debe revisar lo siguiente:
a) la efectividad del SGSI respecto a lograr los objetivos de la poltica de seguridad de
la informacin de la organizacin cliente;
b) el funcionamiento de los procedimientos para evaluar peridicamente y revisar el
cumplimiento con la legislacin y regulaciones pertinentes sobre la seguridad de la
informacin;
c) accin tomada sobre las no conformidades identificadas durante la ltima auditora.
9.3.1.3El seguimiento del organismo de certificacin debera cubrir al menos los puntos
cubiertos para la auditora de seguimiento en ISO/IEC 17021. Adems, tambin se
deberan considerar los temas siguientes:
a) El organismo de certificacin debera poder adaptar su programa de seguimiento a
los temas de seguridad de la informacin relacionados con amenazas,
vulnerabilidades e impactos sobre los activos de la organizacin cliente y justificar
este programa.
b) El organismo de certificacin debera determinar el programa de seguimiento. Se
pueden acordar fechas especficas para las visitas con la organizacin cliente
certificada.
c) Las auditoras de seguimiento se pueden combinar con auditoras de otros sistemas
de gestin. El informe debe indicar claramente los aspectos pertinentes a cadasistema de gestin.
d) El organismo de certificacin requiere supervisar el uso apropiado del certificado.
Durante las auditoras de seguimiento, los organismos de certificacin deben verificar los
registros de apelaciones y reclamos efectuados ante el organismo de certificacin y en
caso que se detecte una no conformidad o fracaso para satisfacer los requisitos de la
certificacin, que la organizacin cliente haya investigado su propio SGSI y los
procedimientos, y que haya tomado la accin correctiva apropiada.
Un informe de seguimiento debe contener, en particular, informacin sobre eliminacinde no conformidades conocidas anteriormente. Como mnimo, el informe que resulte del
seguimiento se debera redactar para cubrir en su totalidad el requisito de a) anterior.
-
7/27/2019 NCh-ISO 27006-2010-047
30/61
NCh-ISO 27006
24
9.4 Renovacin de la certificacin
Se aplican los requisitos de ISO/IEC 17021:2006, 9.4. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
9.4.1 SI 9.4 Auditoras de renovacin de la certificacin
9.4.1.1 Los procedimientos de auditora de renovacin de la certificacin deben ser
consistentes con aquellos relacionados con la auditora de certificacin del SGSI de la
organizacin cliente como se describe en esta norma.
Los organismos de certificacin deben tener procedimientos claros que determinen las
circunstancias y condiciones en que se mantendrn las certificaciones. Si se encuentran
no conformidades en una auditora de seguimiento o renovacin de la certificacin, el
organismo de certificacin debe corregirlas dentro de un plazo determinado. Si no sehace la correccin dentro del plazo acordado, se debe reducir el alcance de la
certificacin o se suspende o retira el certificado.
El plazo para tomar la accin correctiva debera ser consistente con la gravedad de la no
conformidad y el riesgo para asegurar que los productos o servicios de la organizacin
cliente cumplen los requisitos especficos.
9.5 Auditoras especiales
Se aplican los requisitos de ISO/IEC 17021:2006, 9.5. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
9.5.1 SI 9.5 Casos especiales
Las actividades de seguimiento deben estar sujetas a una estipulacin especial si una
organizacin cliente con un SGSI certificado hace modificaciones importantes a su
sistema o si se efecta otro cambio que podra afectar el fundamento de su
certificacin.
9.6 Suspender, retirar o reducir el alcance de la certificacin
Se aplican los requisitos de ISO/IEC 17021:2006, 9.6.
9.7 Apelaciones
Se aplican los requisitos de ISO/IEC 17021:2006, 9.7.
-
7/27/2019 NCh-ISO 27006-2010-047
31/61
NCh-ISO 27006
25
9.8 Reclamos
Se aplican los requisitos de ISO/IEC 17021:2006, 9.8. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
9.8.1 SI 9.8 Reclamos
Los reclamos representan una fuente de informacin como posibles no conformidades.
El organismo de certificacin, tras la recepcin de un reclamo, debera requerir de la
organizacin cliente certificada que establezca, y cuando sea apropiado informe, la
causa del reclamo, incluyendo cualquier factor predeterminado (o predispuesto) dentro
del SGSI de la organizacin cliente.
El organismo de certificacin se debera dar por satisfecho si la organizacin cliente est
usando tales investigaciones para tomar acciones de apoyo/correctivas, las que deberanincluir acciones en cuanto a:
a) notificacin a autoridades adecuadas si la regulacin lo exige;
b) recuperacin de conformidad;
c) prevencin de recurrencia;
d) evaluacin y mitigacin de cualquier incidente de seguridad adverso y sus efectos
asociados;
e) garanta de la interaccin satisfactoria con otros componentes del SGSI;
f) evaluacin de efectividad de las acciones de apoyo/correctivas que se han adoptado.
El organismo de certificacin debe requerir que cada organizacin cliente cuyo SGSI sea
certificado ponga a su disposicin, al solicitrselo, los antecedentes de todos los
reclamos y acciones correctivas tomadas segn los requisitos de ISO/IEC 27001.
9.9 Registros relativos a solicitantes y clientes
Se aplican los requisitos de ISO/IEC 17021:2006, 9.9.
-
7/27/2019 NCh-ISO 27006-2010-047
32/61
NCh-ISO 27006
26
10 Requisitos relativos al sistema de gestin de los organismos de
certificacin
10.1 Opciones
Se aplican los requisitos de ISO/IEC 17021:2006, 10.1.
10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001
Se aplican los requisitos de ISO/IEC 17021:2006, 10.2.
10.3 Opcin 2 - Requisitos generales del sistema de gestin
Se aplican los requisitos de ISO/IEC 17021:2006, 10.3. Adems se aplica la siguiente
directriz y requisito especfico del SGSI.
10.3.1 SI 10.3 Implementacin del SGSI
Se recomienda que los organismos de certificacin implementen un SGSI de acuerdo
con ISO/IEC 27001.
-
7/27/2019 NCh-ISO 27006-2010-047
33/61
NCh-ISO 27006
27
Anexo A(Informativo)
Anlisis de la complejidad y aspectos especficos del sector al que
pertenece una organizacin
A.1 Potencial de riesgo de la organizacin
Es necesario considerar la complejidad del alcance del SGSI al decidir el plazo de la
auditora y la competencia del auditor. Este anexo entrega un ejemplo en que se analiza la
complejidad de una organizacin cliente.
De este modo, la categora de complejidad asignada a un alcance del SGSI se puede,
utilizar para decidir:
a) los requisitos de competencia de los auditores para efectuar la auditora del SGSI
(un ejemplo de ello se entrega en Anexo B);
b) los requisitos del plazo de la auditora del SGSI (un ejemplo de ello se entrega
en Anexo C);
La Tabla A.1 es una indicacin general de los posibles factores que hay que considerar al
determinar la complejidad del alcance de un SGSI. Se podra requerir su adaptacin a
circunstancias especficas o incluir algn factor especial como sea apropiado.
Al utilizar los criterios de complejidad (ver Tabla A.1) de forma individual, se pueden
clasificar los aspectos de la complejidad del alcance del SGSI en tres categoras: alta,
mediay bajacon una serie de factores. La categora efectiva general de la complejidad se
puede considerar como la categora mxima de todos los factores considerados y el
resultado es la clasificacin alta, mediao baja.
-
7/27/2019 NCh-ISO 27006-2010-047
34/61
NCh-ISO 27006
28
Tabla A.1 - Criterios para la complejidad del alcance del SGSI
CategoraFactor de complejidad
Alta Media Baja
Cantidad de empleados +
personal de contratista 1 000 200 < 200 - Escala d
- Sistema
- Sistemas
- Sistemas
ventas y
- Tecnolog
informac
- Sistemas
de buqu
Cantidad de usuarios 1 000 000 200 000 < 200 000 - Sistemas- Gobierno
Cantidad de sitios 5 2 1 - Escala d
-
Seguridaclusula
Cantidad de servidores 100 10 < 10 - Escala d- Segurida
(ver ISO
- Telecom
(ver ISO
Cantidad de estaciones de
trabajo + computadores de
escritorio + computadores
porttiles
300 50 < 50 - Control d
Cantidad de personal para
desarrollo y mantenimiento
de aplicaciones
100 20
-
7/27/2019 NCh-ISO 27006-2010-047
35/61
Tabla A.1 - Criterios para la complejidad del alcance del SGSI(conclusin)
CategoraFactor de complejidad
Alta Media Baja
Tecnologa de red y
encriptacin
Conexin externa y de
Internet con requisitos de
encriptacin, firma digital
o infraestructura de clave
pblica (PKI)
Conexin externa y de Internet
con uso de encriptacin en
instalaciones estndares
integradas y sin requisitos de
firma digital ni PKI
Conexin externa y de Internet
sin requisitos de encriptacin,
firma digital ni PKI
- Telecom
(ver ISO
- Control
clusula
Significado en cumplimiento
legal
Incumplimiento lleva a
posible juicio
Incumplimiento provoca multa
financiera significativa o dao
a renombre comercial
Incumplimiento provoca multa
financiera no significativa o
dao a renombre comercial
- Leyes y
A.15)
Alcance del riesgo de un
sector especfico (remitirse a
clusula A.2 para ejemplos
de categoras de un sector
especifico sobre riesgos deseguridad de la informacin)
Se aplican leyes y
regulaciones de un sector
especfico
No son aplicables leyes ni
regulaciones a un sector
especfico, pero se consideran
riesgos significativos de un
sector especfico
No son aplicables leyes ni
regulaciones a un sector
especfico y tampoco se
consideran riesgos de un
sector especfico
- Escala d
- Leyes
clusula
-
7/27/2019 NCh-ISO 27006-2010-047
36/61
NCh-ISO 27006
30
A.2 Categoras de un sector especfico del riesgo de seguridad de la
informacin
Los riesgos de la informacin pueden ser especficos al tipo de informacin considerado o alsector en que opera una organizacin. Los ejemplos siguientes ilustran las distintas
categoras de riesgo.
Categoras especficas aplicables a todas las organizaciones:
- sueldos, pensiones, salud y seguridad, antecedentes organizacionales, informacin
interna e interdepartamental, etc.;
- otra informacin de carcter personal identificable;
-
otra informacin comercialmente sensible o crtica, como informacin de investigacin ydesarrollo, informacin de diseo, detalles de clientes, resultados y pronsticos
financieros, planes comerciales, derechos de propiedad intelectual, procesos
manufactureros, etc.
Informacin gubernamental sensible y crtica:
- informacin pblica;
- aplicaciones de gobierno electrnico;
- informacin sobre ciudadanos (por ejemplo, salud, beneficios, impuestos, registros, etc.);
- informacin manejada por proveedores y fabricantes del gobierno, como diseos de
tecnologas de la informacin (TIC), instalaciones, productos, servicios, etc.
Categoras especficas aplicables a clases de organizacin:
- gobierno corporativo, boletn de compaas (listed companies) (posiblemente tambin
otras entidades de envergadura).
Categoras especficas aplicables a sectores comerciales:
- atencin mdica;
- educacin;
- aeroespacial;
- telecomunicaciones;
- servicios financieros;
- instituciones de caridad y sin fines de lucro.
-
7/27/2019 NCh-ISO 27006-2010-047
37/61
NCh-ISO 27006
31
Anexo B(Informativo)
Ejemplos de reas de competencia del auditor
B.1 Consideraciones de competencia general
Hay varias formas en que un auditor puede probar su conocimiento y experiencia. Se puede
demostrar el conocimiento y la experiencia, por ejemplo, al utilizar ttulos acadmicos
reconocidos. El registro, por ejemplo en el Registro Internacional de Auditores Certificados
(International Register of Certificated Auditors o IRCA) u otra entidad reconocida de registro
de auditores tambin se puede utilizar para demostrar el conocimiento y experiencia
requeridos. El nivel de competencia que requiere el equipo de auditora se debera establecer
segn el campo industrial o tecnolgico de la organizacin y el factor de complejidad.
B.2 Consideraciones de competencia especfica
B.2.1 Conocimiento de ISO/IEC 27001:2005, Anexo A controles
A continuacin se describe el conocimiento tpico en relacin con la auditora del SGSI.
Adems de las reas de control de ISO/IEC 27001:2005, Anexo A enumeradas en la tabla
siguiente, los auditores tambin deberan estar conscientes de otras normas de la familia
NCh27000.
Conocimiento y experiencia de requisitos de polticas y negocios
para la seguridad de la informacin
Poltica de seguridad
Conocimiento y experiencia general de los procesos
comerciales, prcticas y estructuras organizacionales
Organizacin de la seguridad de la informacin
Conocimiento de la evaluacin de activos, inventarios,
clasificaciones y uso aceptable de polticas
Gestin de activos
Conocimiento y experiencia general de los procesos y
procedimientos utilizados por departamentos de recursos humanos
Seguridad en recursos humanos
Conocimiento de seguridad fsica y ambiental Seguridad fsica y ambiental
Comunicaciones y gestin de operaciones
Control de acceso
Conocimiento y experiencia actualizados de normas, procesos,
tcnicas y mtodos usados para la seguridad de la informacin,
lo que incluye acciones de gestin y un nivel apropiado de
experiencia tcnica. Esto abarca conocimiento actual de algunas
de las prcticas comerciales comunes
Adquisicin, desarrollo y mantenimiento de
sistemas de informacin
Conocimiento y experiencia actualizados de los procesos y
procedimientos para la gestin de incidentes
Gestin de incidentes relativos a la seguridad de
la informacin
Conocimiento y experiencia actualizados de normas, procesos,
planes y procedimientos de prueba para la continuidad del negocio
Gestin de la continuidad del negocio
Conocimiento actualizado de temas contractuales comerciales y
leyes y regulaciones generales relacionadas con el SGSI
Cumplimiento
-
7/27/2019 NCh-ISO 27006-2010-047
38/61
NCh-ISO 27006
32
B.2.2 Conocimiento tpico relacionado con el SGSI
Los auditores deberan tener conocimiento y comprensin de los siguientes temas de
auditora y SGSI:
- programacin y planificacin de auditora;
- tipos y metodologas de auditora;
- riesgos de auditora;
- anlisis de procesos de seguridad de la informacin;
- Ciclo Deming (Planificar, Hacer, Verificar y Actuar (PDCA)) para una mejora continua;
- auditora interna para la seguridad de la informacin.
Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos
regulatorios:
- propiedad intelectual;
- contenido, proteccin y retencin de registros organizacionales;
- proteccin y privacidad de datos;
- regulacin de controles criptogrficos;
- antiterrorismo;
- comercio electrnico;
- firmas electrnicas y digitales;
- seguimiento de la estacin de trabajo;
- intercepcin de telecomunicaciones y monitoreo de datos (por ejemplo, correo
electrnico);
- abuso de computadores;
- recoleccin de evidencia electrnica;
- pruebas de penetracin;
- requisitos de un sector especfico a nivel internacional y nacional (por ejemplo, banca).
Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos de
gestin:
- tratamiento de riesgos de seguridad de la informacin;
- riesgos de seguridad en la contratacin externa (outsourcing) de las tecnologas de la
informacin y comunicacin (TIC);
-
riesgos de seguridad de la informacin en la cadena de suministro.
-
7/27/2019 NCh-ISO 27006-2010-047
39/61
NCh-ISO 27006
33
Anexo C(Informativo)
Plazo de la auditora
C.1 Introduccin
Este anexo contiene mayor informacin sobre ISO/IEC 17021:2006, 9.1, 9.2, 9.3 y 9.4.
Tambin se debera leer junto con SI 9.1.2, SI 9.1.3, SI 9.1.5, SI 9.1.6, SI 9.2.3.1,
SI 9.2.3.2 y SI 9.2.3.3 de esta norma. Este anexo entrega indicaciones para que el
organismo de certificacin elabore sus propios procedimientos con el fin de que determine el
plazo que necesita para certificar los alcances del SGSI de la organizacin cliente, que
pueden ser de distintos tamaos y complejidades en un amplio espectro de actividades.
Los organismos de certificacin requieren identificar el plazo que necesita el auditor para
efectuar la certificacin inicial, el seguimiento y la renovacin de la certificacin de cada
cliente y SGSI certificado. El uso de este anexo en la etapa de planificacin de la auditora
puede guiar a un enfoque consistente para determinar el plazo adecuado del auditor.
Asimismo, las directrices dadas en este anexo permiten que exista flexibilidad a la luz de lo
que se encuentre durante la auditora, especialmente en la etapa 1 y la complejidad del
alcance del SGSI.
C.2 Procedimiento para determinar el plazo de la auditora
La experiencia ha demostrado que el alcance del SGSI, esto es, la cantidad de empleados
(como se explica en el cuadro de plazos del auditor C.3), el tamao, las caractersticas, la
complejidad y el significado de los potenciales riesgos de seguridad de la informacin (como
se explica posteriormente en mayor detalle) determinarn el plazo de las auditoras del SGSI.
La subclusula SI 9.1.3, y tambin SI 9.2.3.1, SI 9.2.3.2 y SI 9.2.3.3 enumeran los criterios
que se deberan considerar al fijar el plazo que requiere el auditor. Este y otros factores se
necesitan examinar durante el proceso de revisin de contratos del organismo de
certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar al
auditor.
Es importante destacar que todos estos factores se deberan considerar al determinar el plazo
de la auditora y que el cuadro C.3 sobre este tema no se puede aplicar de forma aislada. Los
ejemplos siguientes ilustran los factores que pueden influir en el plazo de la auditora y
profundizar sobre la lista de factores entregados en SI 9.1.3:
- factores relacionados con el tamao del alcance del SGSI (por ejemplo, cantidad de
sistemas de informacin utilizados, volumen de informacin procesada, cantidad de
usuarios, cantidad de usuarios privilegiados, cantidad de plataformas de TI, cantidad de
redes y su tamao);
-
7/27/2019 NCh-ISO 27006-2010-047
40/61
NCh-ISO 27006
34
- factores relacionados con la complejidad del SGSI (por ejemplo, criticidad de los sistemas
de informacin, la situacin de riesgos del SGSI, volmenes y tipos de informacin
sensible y crtica manejada y procesada, cantidad y tipos de transacciones electrnicas,
cantidad y tamao de proyectos de desarrollo, extensin de trabajos remotos vigentes,extensin de la documentacin del SGSI);
- el (los) tipos(s) de negocios realizado(s) dentro del alcance del SGSI, y los requisitos de
seguridad, legales, regulatorios, contractuales y comerciales relacionados con estos tipos
de negocios;
- extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos
componentes del SGSI (como los controles implementados, documentacin y/o control
de procesos, acciones correctivas/preventivas, sistemas de informacin, sistemas de TI,
redes, por ejemplo si son fijas, mviles, inalmbricas, externas, internas);
- cantidad de sitios dentro del alcance del SGSI, las similitudes o diferencias de estos sitios
y si todos los sitios se auditarn o tan solo una muestra;
- desempeo demostrado anteriormente del SGSI;
- extensin de la contratacin externa (outsourcing) y organizacin de terceros
considerados en el alcance del SGSI y dependencia de estos servicios;
- normas, legislacin y regulaciones que se aplican a la certificacin y cualquier requisito
especfico de un sector que se podra aplicar.
La certificacin de un SGSI por lo general toma ms tiempo que la certificacin de un
sistema de gestin de la calidad o ambiental, debido a los mayores requisitos sobre un
sistema de gestin de la seguridad de la informacin a travs de demandas especficas de un
SGSI, como la poltica del SGSI, la gestin de riesgos y los objetivos del control del SGSI y
los controles. El organismo de certificacin requiere:
a) auditar la validez y consistencia del mtodo mediante el cual la organizacin cliente
determina el significado de sus riesgos y efectos de la seguridad de la informacin;
b) confirmar que el sistema diseado para lograr el cumplimiento (con toda la legislacin
pertinente y otros requisitos que se aplican al SGSI) es capaz de realizarlo y que elsistema se implemente y mantiene;
c) confirmar que los objetivos del control y los controles se han seleccionado e
implementado correctamente, que se mide su efectividad y que el proceso para prevenir
y responder apropiadamente a fallas en la seguridad es eficaz y se cumple;
d) confirmar que se cumplan los requisitos documentados del SGSI de la organizacin
cliente;
e) reaccionar a mayores demandas que surjan de la etapa 1 de la auditora.
-
7/27/2019 NCh-ISO 27006-2010-047
41/61
NCh-ISO 27006
35
C.3 Cuadro de plazos del auditor
C.3.1 General
El cuadro de plazos del auditor fija una cantidad promedio de los das iniciales de una
auditora (en este y en los cuadros siguientes, esta cantidad incluye los das para la etapa 1
y etapa 2 de la auditora), que segn la experiencia ha demostrado ser apropiada para el
alcance de un ISMS con una cantidad determinada de empleados. La experiencia tambin ha
indicado que para el alcance del SGSI de un tamao similar, se requerir un plazo parecido.
La variacin del tiempo destinado en cada certificacin depende de la cantidad de factores
como el tamao, alcance de la auditora, logstica, complejidad de la organizacin cliente y su
estado de preparacin para la auditora (ver tambin clusula C.2). Este y otros factores
necesitan ser examinados durante el proceso de revisin del contrato del organismo de
certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar alauditor. Por lo tanto, el cuadro de plazo del auditor no se puede utilizar de forma aislada.
Este cuadro entrega el marco que se podra utilizar para planificar la auditora al identificar un
punto inicial basado en la cantidad total de empleados de todos los turnos, y ajustar esto en
base a los factores significativos que se aplican al alcance del SGSI que se auditarn y
atribuyen a cada factor una carga aditiva o sustractiva para modificar la cifra base. Los
trminos utilizados en este cuadro se explican en C.3.2.
Cuadro de plazos del auditor
Cantidad de
empleados
Plazo del auditor delsistema de gestin
de la calidad para
auditora inicial
(das del auditor)
Plazo del auditor delsistema de gestin
ambiental para
auditora inicial (das
del auditor)
Plazo del auditordel SGSI para la
auditora inicial
(das del auditor)
Factores aditivos
y sustractivos
Tiempo
total del
auditor
1 - 10 2 3 5 Ver clusula C.2
11 - 25 3 - 7 Ver clusula C.2
26 - 45 4 6 8,5 Ver clusula C.2
46 - 65 5 - 10 Ver clusula C.2
66 - 85 6 - 11 Ver clusula C.2
86 - 125 7 8 12 Ver clusula C.2
126 - 175 8 - 13 Ver clusula C.2
176 - 275 9 - 14 Ver clusula C.2
276 - 425 10 - 15 Ver clusula C.2
426 - 625 11 12 16,5 Ver clusula C.2
626 - 875 12 - 17,5 Ver clusula C.2
876 - 1 175 13 - 18,5 Ver clusula C.2
1 176 - 1 550 14 - 19,5 Ver clusula C.2
1 551 - 2 025 15 18 21 Ver clusula C.2
2 026 - 2 675 16 - 22 Ver clusula C.2
(contina)
-
7/27/2019 NCh-ISO 27006-2010-047
42/61
NCh-ISO 27006
36
Cuadro de plazos del auditor(conclusin)
Cantidad deempleados
Plazo del auditor del
sistema de gestin
de la calidad para
auditora inicial
(das del auditor)
Plazo del auditor del
sistema de gestin
ambiental para
auditora inicial (das
del auditor)
Plazo del auditor
del SGSI para laauditora inicial
(das del auditor)
Factores aditivosy sustractivos
Tiempo
total del
auditor
2 676 - 3 450 17 - 23 Ver clusula C.2
3 451 - 4 350 18 - 24 Ver clusula C.2
4 351 - 5 450 19 - 25 Ver clusula C.2
5 451 - 6 800 20 - 26 Ver clusula C.2
6 801 - 8 500 21 - 27 Ver clusula C.2
8 501 - 10 700 22 - 28 Ver clusula C.2
>10 700 Seguir progresin - Seguir progresin Ver clusula C.2
C.3.2 Explicacin de trminos
Empleadosen el sentido que aparece en el cuadro de plazos del auditor se refiere a todas las
personas cuyas actividades laborales se relacionan con el alcance del SGSI. La cantidad total
de empleados de todos los turnos es el punto inicial para determinar el plazo de la auditora.
La cantidad efectiva de empleados incluye a quienes no son permanentes (estacionales,
temporales y subcontratados) y que se desempaarn durante el tiempo de la auditora. Un
organismo de certificacin debera acordar con la organizacin que auditar el plazo para
realizar la tarea que demostrarn de la mejor forma el total alcance de la organizacin. Laconsideracin incluye temporada, mes, da y fecha del turno tal como sea apropiado.
Los empleados a tiempo parcial deberan ser tratados como empleados a tiempo completo,
siempre que la cantidad de horas trabajadas se puedan comparar con un empleado a tiempo
completo.
Elplazo del auditorabarca el tiempo destinado por el auditor o el equipo de auditora en la
etapa 1 y etapa 2 de la auditora y la planificacin (incluida la revisin de un documento
fuera de la sede de la organizacin a auditar de ser apropiado); conocimiento de la
organizacin, el personal, los antecedentes, la documentacin y los procesos, y la redaccin
del informe. Se espera que el plazo del auditorconsiderado en tal planificacin y redaccindel informe no debera reducir el total del plazo del auditor en el sitio a auditar a menos
del 70% del tiempo considerado en el cuadro del plazo del auditor. La necesidad de tiempo
adicional para la planificacin y/o redaccin del informe no ser excusa para recortar el
tiempo que estar el auditor en el sitio a auditar. El tiempo de viaje del auditor no se incluye
en este clculo y es adicional al plazo del auditor referido en el cuadro.
NOTA 1) El 70% es un factor basado en la experiencia de auditoras del SGSI.
-
7/27/2019 NCh-ISO 27006-2010-047
43/61
NCh-ISO 27006
37
Si se utilizan tcnicas remotas como la colaboracin interactiva por Internet, reuniones
virtuales, teleconferencias y/o verificacin electrnica de los procesos de la organizacin para
comunicarse con la organizacin, se deberan identificar estas actividades en el plan de la
auditora (ver SI 9.1.5) y se podra considerar que contribuye parcialmente al total delplazodel auditor in situ.
Si el organismo de certificacin contempla un plan de auditora para el cual las actividades
remotas de auditora representan ms del 30% del tiempo planificado de auditora in situ, el
organismo de certificacin debera justificar el plan de auditora y obtener una aprobacin
especfica del organismo de certificacin antes de su implementacin.
NOTA 2) El tiempo de