ISO 27007

La norma internacional ISO 27007 forma parte de la familia de normas del Sistema de Gestión de Seguridad de la Información (SGSI). La norma proporciona una guía para las organizaciones certificadas para auditar SGSI.

La norma ISO-27007 refleja la norma ISO 19001 (estándar de auditoria para Sistemas de Gestión de la Calidad y Medioambiental). Esta norma se encarga de contribuir en la orientación adicional al SGSI.

ISO 27007 también se basa en la norma ISO 17021, relacionada con la evaluación de la conformidad.

El estándar incluye:

• Gestión del programa de auditoria del SGSI: en el que establece qué, cuándo y cómo se debe auditar, gestionar los riesgos de auditoria, asignar auditores apropiados, mejora continua del proceso, mantenimiento de los registros de la misma,…
• Realización de la auditoria relativa al SGSI: ésta incluye la planificación, el proceso de auditoria, la realización de actividades clave, análisis, trabajo de campo, presentación de informes y seguimiento.
• Gestión de los auditores del SGSI: competencias, habilidades, atributos, evaluación…

Esta guía tiene las siguientes finalidades:

• Corroborar la mitigación realizada por los controles de seguridad de la información de sobre los riesgos de la organización.
• Verificar que es correcta la relación de los controles de seguridad con la contabilidad general o de los sistemas y procesos de contratación para que los auditores verifiquen los datos.
• Comprobar que las obligaciones contractuales de los proveedores son satisfactorias.
• Realizar una revisión y control por la dirección.
• Operaciones rutinarias del SGSI de una organización para garantizar la buena marcha de la organización.
• Auditar después de producirse incidentes en la seguridad de la información como parte del análisis.
• Generar acciones correctivas.

La Plataforma Tecnológica ISOTools hace más sencillo el reconocimiento o identificación de riesgos de seguridad de la información, y colabora en el seguimiento de la auditoria del SGSI.