Академический Документы
Профессиональный Документы
Культура Документы
n Hoja 1 de 22
CUESTIONARIO PARA LA REALIZACIN DE VISITAS DE ACOMPAAMIENTO A ENTIDADES DE CERTIFICACIN DE SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)
INSTRUCCIONES GENERALES AL EXPERTO DE ENAC 1. Durante la reunin inicial y una vez haya sido presentado por el auditor jefe de la entidad de certificacin, el experto de ENAC debe declarar que: a) El objetivo de su presencia es evaluar la actividad del equipo auditor, enfatizando que, en ningn caso, su trabajo interferir en la normal marcha de la auditora. b) Dispone de un compromiso de confidencialidad con ENAC para todo lo relativo a su actividad en la auditora. c) En ningn caso dar recomendaciones al equipo auditor relativas al SGSI de la empresa. d) Podr manejar la misma documentacin y registros que use investigue el equipo auditor. Podr, en algn caso solicitar copias de determinados documentos o registros si entiende que son necesarios para documentar sus hallazgos
2. Durante la visita, incluidas las reuniones internas del equipo auditor, el experto de ENAC se abstendr de
e)
realizar comentarios tanto de sus hallazgos como de lo que haya observado. 3. Debern registrarse todas las evidencias necesarias para defender la pertinencia de los incumplimientos detectados.
4. El presente cuestionario debe ser cumplimentado por el experto de ENAC durante el desarrollo de la visita.
a)
aclarar puntos con los auditores que no le hubiesen quedado claros durante la visita y que deban ser aclarados para poder confirmar o descartar sus propias observaciones b) informarles verbalmente de los hallazgos que hayan surgido de la visita, indicando cuales de dichos hallazgos podran dar lugar a incumplimientos en el informe. Asimismo aclarar que dichos incumplimientos no necesariamente sern considerados como no conformidades o desviaciones por ENAC c) informar al auditor jefe de su derecho de presentar por escrito en ese momento a cualquier comentario del experto de ENAC, usando para ello el lugar reservado en el cuestionario.
7. La reunin descrita en el punto anterior podr hacerse al final de la ltima reunin que mantenga el equipo
auditor previo a la reunin final, en cuyo caso el experto de ENAC deber esperar a que el auditor jefe haya dado por finalizada dicha reunin o, si la naturaleza de la auditora y el tiempo lo permite, una vez finalizada la reunin final con la empresa, en cuyo caso deber de haberlo acordado previamente primero con el auditor jefe y despus con la propia empresa. En cualquier caso esta reunin deber hacerse sin estar presentes representantes del cliente de la entidad de certificacin.
8. El informe que se presente a ENAC debe ir firmado por el experto, paginado incluyendo nmero total de
pginas. Se debe enviar a ENAC en papel y disquete a poder ser en WORD 6.0 o posteriores y utilizar el modelo de informe suministrado por ENAC. 9. En el caso de utilizar hojas suplementarias se codificarn como VA-EC/SGSI y el nmero de pgina, y en el cuestionario se har, cuando proceda, referencia a la hoja suplementaria correspondiente. El nmero total de pginas suplementarias se indica en la ltima pgina del presente cuestionario. 10.En visitas de acompaamiento, los expertos de ENAC deben complementar lo indicado aqu.
EV 56 Rev. 1 Septiembre 2006
1.
FECHA DE LA VISITA: FECHA DE RECEPCIN DEL INFORME DE AUDITORA: DATOS DEL SOLICITANTE: Nombre completo de la empresa: Direccin: Telfono /Fax: Actividad de la empresa:
En el caso de estar presente un consultor de la empresa, comprobar que se mantiene como observador:
Complejidad del o de los Sistemas de Informacin que entran dentro del alcance de la certificacin de SGSI
Dimensin de las instalaciones o Sistemas de Informacin que entran dentro del alcance de la certificacin SGSI
Otros factores a tener en cuenta en los sistemas o sector de actividad para la certificacin SGSI
ALCANCE DE LA CERTIFICACIN Indicar el alcance indicado en el certificado para empresas ya certificadas o el acordado en la reunin inicial en auditoras iniciales. Si no se ha acordado, solicitar el alcance previsto al auditor jefe, y hacerlo constar aqu y en el informe. Indicar la norma de referencia para la certificacin.)
TIPO DE LA VISITA DE LA ENTIDAD DE CERTIFICACIN Visita previa Auditora Inicial Auditora de renovacin Auditora de seguimiento Auditora extraordinaria Auditora de ampliacin EQUIPO AUDITOR DE LA ENTIDAD DE CERTIFICACIN (Nombre /Cargo):
OBSERVADOR/ES DE ENAC:
2.
- Procedimientos de certificacin
Documentos de trabajo utilizados durante la auditora por la entidad de certificacin Indicar si existen como documento controlado (codificado, etc), preimpreso (lista de comprobacin o similar) o una hoja en blanco). Comprobar las versiones vigentes con respecto a las normas objeto de la certificacin.
Procedimiento de auditora de la Entidad de Certificacin Registrar ttulo y revisin del utilizado en la visita. Realizar aqu los comentarios que considere oportunos sobre dicho documento.
3.
Anlisis de la documentacin del SGSI de la empresa solicitante Indicar si existen evidencias de dicho estudio por el equipo de auditora. Analizar tambin si el auditor jefe ha preparado documentos de trabajo como resultado del estudio de la documentacin (cuestionarios o similar). Si se detecta poca preparacin (p.e duracin excesiva de la reunin inicial, auditora lenta, etc. ), se registrar este hecho aqu.
Anlisis de los perfiles y experiencia de los integrantes del equipo de auditora Identificar si cubren las necesidades de conocimiento tcnico para realizar la auditora segn la especificidad del alcance de esta.
Asignacin de reas de investigacin por parte del auditor jefe a los miembros del equipo Indicar si la asignacin se ha realizado de manera formal, en el plan de auditora o similar, de manera informal, en una reunin inicial por ejemplo, o no se ha realizado. Indicar si se han asignado las revisiones de acuerdo a los perfiles y experiencia de cada integrante del equipo de auditora.
4.
REUNIN INICIAL COMPROBAR (Indicar para cada punto si se cita o no en la reunin y la actitud general del equipo)
Presentacin del equipo auditor
Comunicar y confirmar los medios y recursos auditados necesarios (sala de reuniones, equipos
Posibles aclaraciones
adecuado)
5.
DESARROLLO DE LA AUDITORA
SE INVESTIGARN LOS SIGUIENTES ASPECTOS
Utilizacin de los documentos de trabajo Indicar si se registra informacin suficiente sobre los aspectos investigados. Tanto positivos como negativos. Documentar las actividades realizadas por el auditor as como la opinin del experto relativa a las decisiones del auditor.
Tcnicas de investigacin Indicar si las investigaciones han incluido entrevistas con el personal con un nmero y posicin suficientes y si se han perseguido adecuadamente las lneas de investigacin. Indicar aquellas posibles no conformidades no detectadas por el equipo auditor.
Documentacin de las no conformidades Se informa a la empresa conforme van apareciendo? Indicar si se registra la clusula de la norma afectada. Evaluar la capacidad del equipo auditor para redactar No Conformidades que subyacen a las evidencias encontradas. Incluir ejemplos de No Conformidades redactadas y el problema encontrado. Evaluar la correcta categorizacin de las No Conformidades detectadas y de los puntos de mejora. Si la entidad identifica oportunidades de mejora en ningn caso pueden sustituir a No conformidades.
documentos, etc.)
Comprobar si se incluyen en la revisin los puntos 4 a 8 de la ISO 27001. Evaluar la profundidad de la revisin de estos puntos.
AUDITOR2
COMENTARIOS
5 Responsabilidad de la Gerencia
1 2
Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. EV 56 Rev. 1 Septiembre 2006
AUDITOR4
COMENTARIOS
7.1. General
3 4
Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. EV 56 Rev. 1 Septiembre 2006
AUDITOR6
COMENTARIOS
Terceras partes
Gestin de Activos
Responsabilidad por los activos
Clasificacin de la informacin
5 6
Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. 7 Indicar en los comentarios si es aplicable, y si los controles seleccionados para la revisin se corresponden con los seleccionados por la entidad a certificar, de acuerdo al Anlisis de Riesgos realizado por esta entidad. 8 Indicar en las lneas siguientes la numeracin o identificacin del control, segn el plan de auditora de la entidad certificadora, y el de la entidad a certificar. EV 56 Rev. 1 Septiembre 2006
Clusula de ISO 27001 Clusulas Generales del AUDITOR SGSI Seguridad de los recursos humanos
Antecedentes
COMENTARIOS
Desarrollo actual
Clusula de ISO 27001 Clusulas Generales del AUDITOR SGSI Gestin de las comunicaciones y las operaciones
Procedimientos y responsabilidades operacionales
COMENTARIOS
Respaldo
Manejo de dispositivos
Intercambio de informacin
Monitorizacin
AUDITOR
COMENTARIOS
AUDITOR
COMENTARIOS
Controles criptogrficos
AUDITOR
COMENTARIOS
Cumplimiento
Cumplimiento con requerimientos legales
Indicar, si la auditora no profundiza suficientemente en aspectos tcnicos Es imprescindible registrar evidencias para poder redactar incumplimientos en este punto, desde el punto de vista del auditor / tcnico de ENAC. Dichas evidencias pueden ser la aceptacin por el equipo auditor de tolerancias inapropiadas, la ausencia o deficiencias en controles crticos, la aceptacin como buena de explicaciones no tcnicas, etc.
Comprobar si se han incluido las clusulas y criterios obligados de la 27001 (clusulas 4, 5, 6, 7 y 8). Indicar si se han visto todos los puntos incluidos en el plan de auditora
Comprobar si se ha incluido en la presente auditora, o en las previas la auditora y evaluacin del Anlisis de Riesgos.
Criterios de aplicacin de ISO 27001
Indicar aspectos del sistema de la empresa o de su implantacin que seran no conformidades a juicio del experto de ENAC y que han sido consideradas como aceptables por el equipo auditor o viceversa.
6.
Indicar desviaciones respecto al plan y justificacin. Indicar tiempo efectivo de la auditora (exceptuando comidas y reuniones inicial y final)
Indicar si se ha cubierto el alcance previsto. Se debe evaluar si la auditora ha cubierto todo el alcance del certificado.
6.2
REUNIN FINAL
Presentacin de las no conformidades por parte del equipo auditor Claridad de explicacin. Quin las presenta? Se declara el derecho a apelar a las no conformidades? Conclusiones del equipo auditor relativas al sistema de calidad para cumplir los requisitos de la calidad Indicar si se indica en la reunin. Si la entidad en su procedimiento puede informar sobre reas de mejora indicar cules ha detectado o si no ha detectado ninguna. Evaluar si se est de acuerdo con lo dicho por la entidad.
Registro de la reunin
7.
Contenido del informe 1. 2. 3. 4. 5. 6. 7. 8. Objetivos y alcance de la auditora Identificacin de la organizacin auditada Detalle del plan de la auditora Identificacin de los miembros del equipo auditor y de los representantes del auditado Fechas de la auditora Identificacin de los documentos de referencia de la auditora No conformidades Apreciacin del equipo auditor sobre el grado de conformidad del SGSI del auditado con la norma y otra documentacin aplicable 9. Fecha y firma del informe por el Auditor Jefe
8.
ALEGACIONES DEL AUDITOR JEFE (en el caso de alegaciones del Auditor jefe a lo
indicado por el experto de ENAC se recogern aqu tanto el comentario que ha dado lugar a la alegacin documentndola tanto como sea posible como la propia alegacin) 8.1 Comentario del Experto de ENAC
pginas suplementarias