NCh-ISO 27006-2010-047

7/27/2019 NCh-ISO 27006-2010-047

1/61

NCh-ISO 27006

I

Contenido

Pgina

Prembulo IV

0 Introduccin 1

1 Alcance y campo de aplicacin 2

2 Referencias normativas 2

3 Trminos y definiciones 3

4 Principios 3

5 Requisitos generales 3

5.1 Asuntos legales y contractuales 3

5.2 Gestin de la imparcialidad 3

5.3 Responsabilidad legal y financiamiento 4

6 Requisitos relativos a la estructura 5

6.1 Estructura de la organizacin y alta direccin 5

6.2 Comit para la preservacin de la imparcialidad 5

7 Requisitos relativos a los recursos 5

7.1 Competencia de la direccin y el personal 5

7.2 Personal que interviene en las actividades de certificacin 6

7.3 Empleo de auditores externos y expertos tcnicos externos individuales 9

7.4 Registros relativos al personal 9

7.5 Contratacin externa (outsourcing) 9

7/27/2019 NCh-ISO 27006-2010-047

2/61

NCh-ISO 27006

II

Contenido

Pgina

8 Requisitos relativos a la informacin 9

8.1 Informacin accesible al pblico 9

8.2 Documentos de certificacin 10

8.3 Directorio de clientes certificados 10

8.4 Referencia a la certificacin y utilizacin de marcas 10

8.5 Confidencialidad 11

8.6 Intercambio de informacin entre un organismo de certificacin y sus

clientes 11

9 Requisitos relativos a los procesos 11

9.1 Requisitos generales 11

9.2 Auditora inicial y certificacin 16

9.3 Actividades de vigilancia 22

9.4 Renovacin de la certificacin 24

9.5 Auditoras especiales 24

9.6 Suspender, retirar o reducir el alcance de la certificacin 24

9.7 Apelaciones 24

9.8 Reclamos 25

9.9 Registros relativos a solicitantes y clientes 25

10 Requisitos relativos al sistema de gestin de los organismos de

certificacin 26

10.1 Opciones 26

10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001 26

10.3 Opcin 2 - Requisitos generales del sistema de gestin 26

7/27/2019 NCh-ISO 27006-2010-047

3/61

NCh-ISO 27006

III

Contenido

Pgina

Anexos

Anexo A (informativo) Anlisis de la complejidad y aspectos especficos del

sector al que pertenece una organizacin 27

A.1 Potencial de riesgo de la organizacin 27

A.2 Categoras de un sector especfico del riesgo de seguridad de la

informacin 30

Anexo B (informativo) Ejemplos de reas de competencia del auditor 31

B.1 Consideraciones de competencia general 31

B.2 Consideraciones de competencia especfica 31

Anexo C (informativo) Plazo de la auditora 33

C.1 Introduccin 33

C.2 Procedimiento para determinar el plazo de la auditora 33

C.3 Cuadro de plazos del auditor 35

Anexo D (informativo) Directriz para la revisin de los controles implementados

de ISO/IEC 27001:2005, Anexo A 40

D.1 Propsito 40

D.2 Forma de utilizar Tabla D.1 41

Tablas

Tabla A.1 Criterios para la complejidad del alcance del SGSI 28

Tabla D.1 Clasificacin de los controles 42

7/27/2019 NCh-ISO 27006-2010-047

4/61

IV

NORMA CHILENA OFICIAL NCh-ISO 27006.Of2010

Tecnologa de la informacin - Tcnicas de seguridad -

Requisitos para los organismos que realizan la auditora y

certificacin de sistemas de gestin de la seguridad de la

informacin

Prembulo

El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el

estudio y preparacin de las normas tcnicas a nivel nacional. Es miembro de la

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION

PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esosorganismos.

Esta norma se estudi a travs del Comit Tcnico Conjunto de caracteres y codificacin,

para especificar los requisitos y entregar una directriz para los organismos que realizan la

auditora y certificacin de un sistema de gestin de la seguridad de la informacin (SGSI),

adems de los requisitos considerados en ISO/IEC 17021 e ISO/IEC 27001.

Esta norma es idntica a la versin en ingls de la Norma Internacional ISO/IEC 27006:2007

Information technology - Security techniques - Requirements for bodies providing audit and

certification of information security management systems.

La Nota explicativa incluida en un recuadro en clusula 2 Referencias normativas, es un

cambio editorial que se incluye con el propsito de informar la correspondencia con norma

chilena de las Normas Internacionales citadas en esta norma.

La norma NCh-ISO 27006 ha sido preparada por la Divisin de Normas del Instituto

Nacional de Normalizacin, y en su estudio el Comit estuvo constituido por las

organizaciones y personas naturales siguientes:

Asesor particular Marcelo Corts San Martn

CODELCO Jorge Gonzlez H.

7/27/2019 NCh-ISO 27006-2010-047

5/61

NCh-ISO 27006

V

Instituto Nacional de Normalizacin, INN Manuel Jara M.

Jorge Muoz C.

ISSA Chile Chapter Gonzalo Concha L.

Lucas Adrin Gmez B.Sonda Chile Rodrigo Baldecchi Q.

KPMG Auditores Consultores Ltda. Lucas Adrin Gmez B.

Universidad de Chile, IDIEM Oscar Clasing J.

En forma adicional a las organizaciones que participaron en Comit, el Instituto recibi

respuesta durante el perodo de consulta pblica de esta norma, de:

Asesor particular, Alan Santos C.

Los Anexos A, B, C y D no forman parte de la norma, se insertan slo a ttulo informativo.

Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en

sesin efectuada el 23 de diciembre de 2009.

Esta norma ha sido declarada Oficial de la Repblica de Chile por Resolucin

Administrativa Exenta N217, de fecha 24 de febrero de 2010, del Ministerio de

Economa, Fomento y Turismo, publicada en el Diario Oficial del 02 de marzo de 2010.

7/27/2019 NCh-ISO 27006-2010-047

6/61

7/27/2019 NCh-ISO 27006-2010-047

7/61

1

NORMA CHILENA OFICIAL NCh-ISO 27006.Of2010

Tecnologa de la informacin - Tcnicas de seguridad -

Requisitos para los organismos que realizan la auditora y

certificacin de sistemas de gestin de la seguridad de la

informacin

0 Introduccin

ISO/IEC 17021 es una Norma Internacional que fija los criterios para los organismos

encargados de la auditora y certificacin de sistemas de gestin de las organizaciones.

Si tales organismos tienen que acreditar que cumplen con ISO/IEC 17021 para auditar y

certificar los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) conforme

con ISO/IEC 27001:2005, se necesitan algunos requisitos y directrices adicionales a

ISO/IEC 17021 que otorga esta norma.

El texto de esta norma mantiene la estructura de ISO/IEC 17021. Los requisitos y las

directrices adicionales especficas del SGSI respecto de la aplicacin de ISO/IEC 17021

para certificar los SGSI se identifican con las letras "SI".

El trmino deber se utiliza en toda esta norma para indicar que esas estipulaciones, al

reflejar los requisitos de ISO/IEC 17021 e ISO/IEC 27001, son obligatorias. El trmino

deberase usa para indicar aquellas estipulaciones, que si bien constituyen una directriz para

la aplicacin de los requisitos, se espera que un organismo de certificacin las adopte.

Un objetivo de esta norma consiste en permitir que organismos de acreditacin unifiquen deforma ms efectiva la aplicacin de las normas respecto de lo que los organismos de

certificacin deben evaluar. En este contexto, cualquier modificacin que efecte un

organismo de certificacin de las directrices constituye una excepcin. Tales variaciones slo

se permitirn luego de que el organismo de certificacin demuestre caso a caso al organismo

acreditador que la excepcin cumple de forma relativamente equivalente la clusula de

requisitos pertinentes de ISO/IEC 17021, ISO/IEC 27001 y el propsito de esta norma.

NOTA - En toda esta norma, los trminos sistema de gestiny sistemase usan de forma intercambiable. La

definicin de sistema de gestin se puede encontrar en ISO 9000:2005. El sistema de gestin como se usa en

esta norma no se debe confundir con otro tipo de sistemas, como los sistemas de tecnologas de la

informacin (TI).

7/27/2019 NCh-ISO 27006-2010-047

8/61

NCh-ISO 27006

2

1 Alcance y campo de aplicacin

Esta norma especifica los requisitos y entrega una directriz para los organismos que

realizan la auditora y certificacin de un sistema de gestin de la seguridad de lainformacin (SGSI), adems de los requisitos considerados en ISO/IEC 17021 e

ISO/IEC 27001. Apunta en primer lugar a respaldar la acreditacin de organismos de

certificacin que entregan la certificacin del SGSI.

El cumplimiento de los requisitos contenidos en esta norma se debe demostrar en

cuanto a competencia y fiabilidad del organismo que proporciona la certificacin del

SGSI. Asimismo, la directriz contenida en esta norma entrega interpretacin extra de

estos requisitos para cualquier organismo de certificacin del SGSI.

NOTA - Esta norma se puede usar como un documento que contiene criterios de acreditacin, evaluacin de

pares u otros procesos de auditora.

2 Referencias normativas

Los documentos siguientes son indispensables para la aplicacin de esta norma. Para

referencias con fecha, slo se aplica la edicin citada. Para referencias sin fecha se

aplica la ltima edicin del documento referenciado (incluyendo cualquier enmienda).

ISO/IEC 17021:2006 Evaluacin de la conformidad - Requisitos para los organismos

que realizan la auditora y certificacin de sistemas de gestin.

ISO/IEC 19011 Directrices para la auditora de sistemas de gestin de la calidady/o ambiental.

ISO/IEC 27001:2005 Tecnologa de la informacin - Tcnicas de seguridad - Sistemas

de gestin de la seguridad de la informacin - Requisitos.

NOTA EXPLICATIVA NACIONAL

La equivalencia de las Normas Internacionales sealadas anteriormente con norma chilena, y su grado de

correspondencia es el siguiente:

Norma Internacional Norma nacional Grado de correspondencia

ISO/IEC 17021:2006 NCh-ISO 17021.Of2008 Idntica

ISO/IEC 19011 NCh-ISO 19011.Of2003 Idntica

ISO/IEC 27001:2005 NCh-ISO 27001.Of2009 Idntica

7/27/2019 NCh-ISO 27006-2010-047

9/61

NCh-ISO 27006

3

3 Trminos y definiciones

Para los propsitos de esta norma se aplican los trminos y definiciones indicados en

ISO/IEC 17021, ISO/IEC 27001 y adicionalmente los siguientes:

3.1 certificado:documento emitido por un organismo de certificacin de acuerdo con las

condiciones de su acreditacin y conlleva un smbolo o declaracin de acreditacin

3.2 organismo de certificacin: tercera parte, que evala y certifica el SGSI de una

organizacin cliente respecto de normas publicadas del SGSI y la documentacin

suplementaria requerida segn el sistema

3.3 documento de certificacin:documento que indica que el SGSI de una organizacin

cliente concuerda con las normas especficas del SGSI y cualquier documentacin

suplementaria requerida segn el sistema

3.4 marca: marca comercial registrada legalmente u otro smbolo protegido, emitido

segn las reglas de un organismo de acreditacin o de certificacin, que indica que se

ha demostrado la confianza adecuada en los sistemas operados por un organismo o que

los productos o las personas pertinentes cumplen los requisitos de una norma especfica

3.5 organizacin:compaa, corporacin, firma, empresa, autoridad o institucin, o parte

o combinacin de ellos, ya sea incorporados o no, pblicos o privados, que tiene sus

propias funciones y administracin y que puede garantizar que se promueve la seguridad

de la informacin

4 Principios

Se aplican los principios de ISO/IEC 17021:2006, clusula 4.

5 Requisitos generales

5.1 Asuntos legales y contractuales

Se aplican los requisitos de ISO/IEC 17021:2006, 5.1.

5.2 Gestin de la imparcialidad

Se aplican los requisitos de ISO/IEC 17021:2006, 5.2. Adems se aplican la siguiente

directriz y requisitos especficos del SGSI.

7/27/2019 NCh-ISO 27006-2010-047

10/61

NCh-ISO 27006

4

5.2.1 SI 5.2 Conflictos de intereses

Los organismos de certificacin pueden efectuar las tareas siguientes sin ser considerados

consultoras o tener un posible conflicto de intereses:

a) certificacin, incluidas reuniones informativas, reuniones de planificacin, examen de

documentos, auditora (sin ser auditoras internas del SGSI ni revisiones internas de

seguridad) y seguimientos de no conformidad;

b) organizacin y participacin como orador en cursos de capacitacin, siempre y

cuando en estos cursos relacionados con la gestin de la seguridad de la informacin

y con los sistemas de gestin o auditora, los organismos de certificacin se limiten a

la entrega de informacin y asesora general que sea de dominio pblico, esto es, no

deberan entregar asesora especfica para una compaa en particular porque

contraviene los requisitos del siguiente punto;

c) disposicin o publicacin por solicitud de informacin que describa la interpretacin

que haga el organismo de certificacin de los requisitos exigidos en las normas de

auditora de certificacin;

d) actividades previas a la auditora, que slo apuntan a determinar la disponibilidad

para efectuar una auditora de certificacin. Sin embargo, tales actividades no se

deberan traducir en la entrega de recomendaciones o asesora que contravendra con

esta clusula. El organismo de certificacin debera poder aclarar que tales

actividades no se oponen a estos requisitos y que no se utilizan para justificar una

reduccin en la eventual duracin de la auditora de certificacin;

e) realizacin de auditoras a segundas y terceras partes segn las normas o

regulaciones distintas a las que pertenecen el alcance de la acreditacin;

f) valor agregado durante las auditoras de certificacin o visitas de seguimiento, por

ejemplo, al identificar oportunidades de mejora al resultar evidente durante la

auditora, pero sin recomendar soluciones especficas.

El organismo de certificacin debe ser independiente del (de los) organismo(s) (incluida

cualquier persona) que provea la auditora interna del SGSI de la organizacin cliente

sujeta a certificacin.

5.3 Responsabilidad legal y financiamiento


7/27/2019 NCh-ISO 27006-2010-047

11/61

NCh-ISO 27006

5

6 Requisitos relativos a la estructura

6.1 Estructura de la organizacin y alta direccin


6.2 Comit para la preservacin de la imparcialidad


7 Requisitos relativos a los recursos

7.1 Competencia de la direccin y del personal

Se aplican los requisitos de ISO/IEC 17021:2006, 7.1. Adems se aplican la siguientedirectriz y requisitos especficos del SGSI.

7.1.1 SI 7.1 Competencia de gestin

Los elementos esenciales de la competencia requerida para efectuar la certificacin del

SGSI consisten en elegir, proporcionar y encargarse de esas personas cuyas

capacidades y competencia colectiva es adecuada a las actividades que sern auditadas

y a los temas de seguridad de la informacin.

7.1.1.1 Anlisis de competencia y revisin de contratos

El organismo de certificacin debe asegurar que tiene el conocimiento de los avancestecnolgicos y legales pertinentes sobre el SGSI de la organizacin cliente que evala.

El organismo de certificacin debe tener un sistema efectivo para el anlisis de sus

competencias en gestin de la seguridad de la informacin el cual debe estar disponible,

con respecto a todas las reas tcnicas en que el organismo opera.

Para cada cliente, el organismo de certificacin debe poder demostrar que ha efectuado un

anlisis de competencia1) (evaluacin de habilidades en respuesta a las necesidades

valoradas) de los requisitos de cada sector pertinente antes de revisar el contrato. El

organismo de certificacin luego debe revisar el contrato con la organizacin cliente basado

en los resultados de este anlisis de competencia. En particular, el organismo decertificacin debe poder demostrar que tiene la competencia para realizar las actividades

siguientes:

a) comprender las reas de actividad de la organizacin cliente y los riesgos

comerciales asociados;

b) definir las competencias requeridas en el organismo de certificacin para certificar

las vulnerabilidades e impactos sobre la organizacin cliente, respecto de las

actividades identificadas y las amenazas a la seguridad de la informacin a evaluar.

c) confirmar la existencia de las competencias requeridas.

1) Segn NCh-ISO 17021, 4.3 competencia: aptitud demostrada para aplicar los conocimientos y habilidades.

7/27/2019 NCh-ISO 27006-2010-047

12/61

NCh-ISO 27006

6

7.1.1.2 Recursos

La direccin del organismo de certificacin debe contar con los procesos y recursos

necesarios que le permitan determinar si auditores individuales son competentes para lastareas que requieren realizar dentro del alcance de certificacin en que estn operando. La

competencia de los auditores se puede establecer con la verificacin de los antecedentes

de la experiencia, y una capacitacin especfica o sesin informativa (ver tambin Anexo

B). El organismo de certificacin se debe poder comunicar eficazmente con todos los

clientes a los que proporciona servicios.

7.2 Personal que interviene en las actividades de certificacin



7.2.1 SI 7.2 Competencia del personal del organismo de certificacin

Los organismos de certificacin deben tener personal competente para:

a) elegir y verificar la competencia de los auditores del SGSI para que se integren a

equipos apropiados para efectuar la auditora;

b) dar instrucciones previas a los auditores del SGSI y organizar cualquier capacitacin

que sea necesaria;

c)

tomar decisiones sobre el otorgamiento, la mantencin, el retiro, la suspensin, laextensin o la reduccin de las certificaciones;

d) establecer y administrar un proceso de apelaciones y reclamos.

7.2.1.1 Capacitacin de los equipos de auditora

El organismo de certificacin debe contar con los criterios para capacitar a los equipos

de auditora para garantizar:

a) conocimiento de la norma del SGSI y otros documentos normativos pertinentes;

b) comprensin de la seguridad de la informacin;

c) comprensin de la evaluacin de riesgos y la gestin de riesgos desde una

perspectiva comercial;

d) conocimiento tcnico de la actividad que ser auditada;

e) conocimiento general de requisitos regulatorios pertinentes a los SGSI;

f) conocimiento de los sistemas de gestin;

7/27/2019 NCh-ISO 27006-2010-047

13/61

NCh-ISO 27006

7

g) comprensin de los principios de auditora basados en ISO 19011;

h) conocimiento de la revisin de la efectividad del SGSI y medicin de la efectividad

del control.

Estos requisitos de capacitacin se aplican a todos los miembros del equipo de auditora,

con la excepcin de d), que se puede compartir entre los miembros del equipo de

auditora.

7.2.1.1.1Al elegir el equipo para una auditora de certificacin especfica, el organismo

de certificacin debe garantizar que se cuentan con las habilidades apropiadas para cada

tarea. El equipo debe:

a) tener un conocimiento tcnico apropiado de las actividades especficas dentro del

alcance del SGSI para el que se solicita la certificacin y, cuando sea pertinente,procedimientos asociados y sus riesgos potenciales de seguridad de la informacin

(expertos tcnicos que no son auditores pueden cumplir esta funcin);

b) tener un grado suficiente de conocimiento de la organizacin cliente para efectuar

una auditora de certificacin confiable de su SGSI sobre los aspectos de seguridad

de la informacin en relacin a sus actividades, productos y servicios;

c) tener un conocimiento apropiado de los requisitos regulatorios aplicables al SGSI de

la organizacin cliente.

7.2.1.1.2 Cuando se requiera, el equipo de auditora se puede complementar conexpertos tcnicos que puedan demostrar competencia especfica en un campo de

tecnologa apropiado para la auditora. Se debe destacar que los expertos tcnicos no

pueden operar en reemplazo de auditores del SGSI, pero podran asesorar a auditores

sobre temas de adecuacin tcnica en el contexto del sistema de gestin que est

siendo auditado. El organismo de certificacin debe tener un procedimiento para:

a) seleccionar auditores y expertos tcnicos sobre la base de su competencia,

capacitacin, calificaciones y experiencia;

b) evaluar inicialmente el proceder de los auditores y expertos tcnicos durante las

auditoras de certificacin y, posteriormente monitorear su desempeo.

7.2.1.2 Gestin del proceso de toma de decisiones

La funcin de direccin debe tener la competencia y capacidad tcnica para gestionar el

proceso de toma de decisiones respecto del otorgamiento, mantencin, extensin,

reduccin, suspensin y retiro de la certificacin del SGSI segn los requisitos

de ISO/IEC 27001.

7/27/2019 NCh-ISO 27006-2010-047

14/61

NCh-ISO 27006

8

7.2.1.3 Niveles de prerrequisitos de educacin, experiencia laboral, capacitacin en

auditora y experiencia de auditores para realizar auditoras del SGSI

7.2.1.3.1 Los criterios siguientes se deben aplicar a cada auditor en el equipo deauditora del SGSI. El auditor debe:

a) tener educacin secundaria;

b) tener al menos cuatro aos de experiencia prctica a tiempo completo en tecnologa

de la informacin, de los cuales al menos dos aos haber desempeado un papel o

funcin relacionada con seguridad de la informacin;

c) haber completado cinco das de capacitacin adecuada que cubran auditora del SGSI

y gestin de auditora;

d) tener experiencia en todo el proceso de evaluacin de la seguridad de la informacin

antes de asumir responsabilidad para actuar como auditor. Esta experiencia se

debera obtener al participar en un mnimo de cuatro auditoras de certificacin por

un total de al menos 20 das y que abarque la revisin de documentacin y anlisis

de riesgos, evaluacin de implementacin e informe de auditora;

e) contar con experiencia que sea razonablemente actual;

f) ser capaz de poner operaciones complejas en una perspectiva general y comprender

la funcin de unidades individuales en organizaciones clientes ms grandes;

g) mantener actualizados el conocimiento y habilidades en seguridad de la informacin

y auditora mediante el desarrollo profesional continuo.

Los expertos tcnicos debe cumplir con los criterios a), b), e) y f).

7.2.1.3.2Adems de los requisitos en 7.2.1.3.1, los lderes de los equipos de auditora

deben cumplir los requisitos siguientes, que deben demostrar en auditoras guiadas y

bajo supervisin:

a) tener conocimiento y atributos para gestionar el proceso de auditora de

certificacin;

b) haber sido auditor en al menos tres auditoras del SGSI completas;

c) haber demostrado la capacidad para comunicarse con eficacia, tanto oralmente como

por escrito.

7/27/2019 NCh-ISO 27006-2010-047

15/61

NCh-ISO 27006

9

7.3 Empleo de auditores externos y expertos tcnicos externos individuales

Se aplican los requisitos de ISO/IEC 17021:2006, 7.3. Adems se aplican las siguientes

directrices y requisitos especficos del SGSI.

7.3.1 SI 7.3 Empleo de auditores externos o expertos tcnicos externos como parte del

equipo de auditora

Al utilizar auditores individuales externos o expertos tcnicos externos como parte del

equipo de auditora, el organismo de certificacin debe garantizar que son competentes

y que cumplen con las estipulaciones aplicables de esta norma y que no estn

involucrados -ya sea directamente o a travs de su empleador- con el diseo,

implementacin o mantenimiento de un SGSI o sistema(s) de gestin relacionado, de tal

forma que se pueda comprometer la imparcialidad.

7.3.1.1 Empleo de expertos tcnicos

Pueden ser parte del equipo de auditora expertos tcnicos con conocimiento especfico

sobre el proceso, temas de seguridad de la informacin y la legislacin que afecta la

organizacin cliente, pero que no satisfacen todos los criterios de 7.2. Los expertos

tcnicos deben operar bajo la supervisin de un auditor.

7.4 Registros relativos al personal


7.5 Contratacin externa (outsourcing)


8 Requisitos relativos a la informacin

8.1 Informacin accesible al pblico

Se aplican los requisitos de ISO/IEC 17021:2006, 8.1. Adems se aplica la siguiente

directriz y requisito especfico del SGSI.

8.1.1 SI 8.1 Procedimientos para otorgar, mantener, extender, reducir, suspender y

retirar una certificacin

El organismo de certificacin debe requerir que la organizacin cliente cuente con un

SGSI documentado e implementado que cumpla con ISO/IEC 27001 y otros documentos

requeridos para la certificacin.

7/27/2019 NCh-ISO 27006-2010-047

16/61

NCh-ISO 27006

10

El organismo de certificacin debe tener procedimientos documentados para:

a) la auditora inicial de certificacin del SGSI de la organizacin cliente, conforme con

lo establecido en ISO 19011 e ISO/IEC 17021 y otros documentos pertinentes;

b) las auditoras de seguimiento y de renovacin de la certificacin del ISMS de la

organizacin cliente segn ISO 19011 e ISO/IEC 17021 de forma peridica para

lograr una conformidad continua con los requisitos pertinentes y para verificar y

registrar que una organizacin cliente toma acciones correctivas de forma oportuna

para corregir todas las no conformidades.

8.2 Documentos de certificacin



8.2.1 SI 8.2 Documentos de certificacin del SGSI

El organismo de certificacin debe proporcionar a cada organizacin cliente, cuyo SGSI

sea certificado, documentos de certificacin tales como una carta o certificado firmado

por un funcionario al que se le ha asignado esa responsabilidad. Para la organizacin

cliente y cada uno de sus sistemas de informacin cubiertos por la certificacin, estos

documentos deben identificar el alcance de la certificacin otorgada e ISO/IEC 27001

del SGSI, mediante la cual el SGSI es certificado. Adems, el certificador debera incluir

una referencia a la versin especfica de la Declaracin de Aplicabilidad.

8.3 Directorio de clientes certificados


8.4 Referencia a la certificacin y utilizacin de marcas



8.4.1 SI 8.4 Control de marcas de certificacin

El organismo de certificacin debe ejercer un control apropiado sobre la propiedad, uso y

presentacin de sus marcas de certificacin del SGSI. Si el organismo de certificacin

confiere el derecho para utilizar una marca con el fin de indicar la certificacin de un

SGSI, el organismo de certificacin debera garantizar que la organizacin cliente utiliza

la marca especfica slo como est autorizada por escrito por el organismo de

certificacin. El organismo de certificacin no debe facultar a la organizacin cliente a

utilizar esta marca en un producto o de una forma que se pueda interpretar como

conformidad respecto del producto.

7/27/2019 NCh-ISO 27006-2010-047

17/61

NCh-ISO 27006

11

8.5 Confidencialidad



8.5.1 SI 8.5 Acceso a registros organizacionales

Antes de la auditora de certificacin, el organismo de certificacin debe preguntar a la

organizacin cliente si existe algn registro del SGSI que el equipo de auditora no pueda

conocer para su revisin, debido a que contiene informacin confidencial o sensible. El

organismo de certificacin debe determinar si el SGSI se puede auditar de forma

adecuada sin esos registros. Si el organismo de certificacin concluye que no es posible

realizar la auditora al SGSI de forma adecuada, sin revisar los registros identificados

como confidenciales o sensibles, debe informar a la organizacin cliente que la auditora

de certificacin no se puede realizar hasta que se logre un acuerdo apropiado sobre suacceso.

8.6 Intercambio de informacin entre un organismo de certificacin y sus clientes


9 Requisitos relativos a los procesos

9.1 Requisitos generales



9.1.1 SI 9.1.1 Requisitos generales de auditora del SGSI

9.1.1.1 Criterios de auditora de certificacin

Los criterios contra los que se audita el SGSI de un cliente, deben ser aquellos que se

describen en ISO/IEC 27001 del SGSI y otros documentos requeridos para la

certificacin pertinente a la funcin realizada. Si se requiere una explicacin en cuanto a

la aplicacin de estos documentos a un programa de certificacin especfico, entoncesesa explicacin debe ser dada por un comit pertinente e imparcial, o personas que

posean la competencia tcnica necesaria, adems de ser publicada por el organismo de

certificacin.

9.1.1.2 Polticas y procedimientos

La documentacin del organismo de certificacin debe incluir la poltica y los

procedimientos para implementar el proceso de certificacin, incluidas verificaciones

sobre el uso y la aplicacin de documentos usados en la certificacin del SGSI y los

procedimientos para auditar y certificar el SGSI de la organizacin cliente.

7/27/2019 NCh-ISO 27006-2010-047

18/61

NCh-ISO 27006

12

9.1.1.3 Equipo de auditora

El equipo de auditora debe ser designado formalmente y provisto de los documentos de

trabajo adecuados. El plan y la fecha de la auditora se deben acordar con la

organizacin cliente. El mandato otorgado al equipo de auditora se debe definir

claramente y darlo a conocer a la organizacin cliente. Tambin se debe requerir que el

equipo de auditora examine la estructura, las polticas y los procedimientos de la

organizacin cliente, y confirmar que se cumplan todos los requisitos pertinentes para el

alcance de la certificacin y que se implementen los procedimientos y sean tales que

entreguen confianza en el SGSI de la organizacin cliente.

9.1.2 SI 9.1.2 Alcance de la certificacin

El equipo de auditora debe auditar el SGSI de la organizacin cliente cubierto por el

alcance definido, contra todos los requisitos de certificacin aplicables. El organismo de

certificacin debe garantizar que el alcance y lmites del SGSI de la organizacin clienteestn claramente definidos en trminos de las caractersticas del negocio, la

organizacin, su ubicacin, activos y tecnologa. El organismo de certificacin debe

confirmar que las organizaciones clientes, en el alcance de su SGSI, cumplen con los

requisitos establecidos en ISO/IEC 27001:2005, 1.2.

Los organismos de certificacin deben garantizar que la evaluacin del riesgo de la seguridad

de la informacin de una organizacin cliente y que el tratamiento del riesgo, reflejan sus

actividades y se extienden a los lmites de sus actividades segn se define en ISO/IEC 27001

del SGSI. Los organismos de certificacin deben confirmar que esto se refleja en el alcance

del SGSI y la Declaracin de Aplicabilidad de la organizacin cliente.

Los organismos de certificacin deben garantizar que las interfaces con servicios o

actividades que no se encuentran completamente dentro del alcance del SGSI sean

abordadas dentro del SGSI sujeto a certificacin y que sean incluidos en la evaluacin

de riesgos de seguridad de la informacin perteneciente a la organizacin cliente. Un

ejemplo de tal situacin es el compartir instalaciones (por ejemplo, sistemas de TI, bases

de datos y sistemas de telecomunicaciones) con otras organizaciones.

9.1.3 SI 9.1.3 Plazo de auditora

Los organismos de certificacin deben permitir que los auditores tengan el tiempo

suficiente para efectuar las actividades relacionadas con la auditora inicial, la auditora

de seguimiento y la auditora de renovacin de la certificacin2). El tiempo asignado sedebera basar en factores como:

a) el tamao del alcance del SGSI (por ejemplo, cantidad de sistemas de la informacin

utilizados, cantidad de empleados);

b) complejidad del SGSI (por ejemplo, criticidad de los sistemas de informacin,

situacin de riesgo del SGSI), ver tambin Anexo A;

c) el (los) tipo(s) de negocio(s) realizado(s) dentro del alcance del SGSI;

2) En ingls: recertification audit.

7/27/2019 NCh-ISO 27006-2010-047

19/61

NCh-ISO 27006

13

d) extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos

componentes del SGSI (como los controles implementados, la documentacin y/o el

control de procesos, acciones correctivas/preventivas, etc.);

e) cantidad de sitios3);

f) desempeo demostrado anteriormente del SGSI;

g) extensin de la contratacin externa (outsourcing) y organizacin de terceros

considerados en el alcance del SGSI;

h) normas y regulaciones que se aplican a la certificacin.

El Anexo C otorga una directriz sobre el plazo de auditora. El organismo de certificacin

debe estar preparado para respaldar o justificar el plazo usado en cualquier auditora

inicial, auditoras de seguimiento y auditora de renovacin de la certificacin.

9.1.4 SI 9.1.4 Sitios mltiples

9.1.4.1Las decisiones sobre muestras de diversos sitios respecto de la certificacin del

SGSI son ms complejas que las mismas decisiones para los sistemas de gestin de la

calidad. Donde una organizacin cliente tiene una serie de sitios que cumplen los

criterios descritos de a) a c), los organismos de certificacin pueden considerar el uso de

un enfoque en base a una muestra para una auditora de certificacin de multisitios:

a) todos los sitios estn operando bajo el mismo SGSI, que se administra y audita

centralmente y est sujeto a la revisin central por la direccin;

b) todos los sitios se incluyen en el programa de auditora interna del SGSI

perteneciente a la organizacin cliente;

c) todos los sitios se incluyen en el programa de revisin por la direccin del SGSI

perteneciente a la organizacin cliente.

9.1.4.2 El organismo de certificacin que desea utilizar un enfoque en base a una

muestra debe contar con procedimientos vigentes para garantizar lo siguiente:

a)

La revisin inicial del contrato identifica, con la mayor amplitud posible, la diferenciaentre los sitios de modo tal que se determine un nivel adecuado de muestras.

b) El organismo de certificacin toma una muestra de una cantidad representativa de

sitios y considera:

1) los resultados de auditoras internas de la oficina principal y los sitios,

2) los resultados de la revisin por la direccin,

3) variaciones del tamao de los sitios,

3) Sitio: Lugar fsico cubierto por el alcance.

7/27/2019 NCh-ISO 27006-2010-047

20/61

NCh-ISO 27006

14

4) variaciones del propsito comercial de los sitios,

5) complejidad del SGSI,

6) complejidad de los sistemas de informacin en los distintos sitios,

7) variaciones en las prcticas de trabajo,

8) variaciones en las actividades que se emprenden,

9) posible interaccin con sistemas de informacin crticos o sistemas de

informacin que procesan informacin sensible,

10) cualquier requisito legal discrepante.

c) Se selecciona una muestra representativa de todos los sitios dentro del alcance del

SGSI de la organizacin cliente. Esta seleccin se debera basar en una eleccin

evaluativa para reflejar los factores presentados en b) as como el hecho de ser un

elemento aleatorio.

d) Cada sitio incluido en el SGSI, que est sujeto a riesgos significativos, es auditado

por el organismo de certificacin antes de la certificacin.

e) El programa de seguimiento se ha diseado a la luz de los requisitos descritos

anteriormente y cubre todos los sitios de la organizacin cliente o dentro del alcance

de la certificacin del SGSI en un perodo razonable.

f) En el caso de que exista no conformidad, en la oficina principal o en un solo sitio, se

aplica el procedimiento de accin correctiva a la oficina principal y a todos los sitios

que cubre el certificado.

La auditora descrita en SI 9.1.5 debe abordar las actividades de la oficina principal de la

organizacin cliente para garantizar que se aplica un solo SGSI a todos los sitios y que

brinda gestin central a nivel operacional. La auditora debe abordar todos los temas

descritos anteriormente.

9.1.5 SI 9.1.5 Metodologa de la auditora

El organismo de certificacin debe contar con los procedimientos considerados para que

la organizacin cliente pueda demostrar la programacin de las auditoras internas del

SGSI, y que el programa y los procedimientos estn operando y que pueden comprobar

su operacin.

Los procedimientos del organismo de certificacin no deberan presuponer una forma

particular de implementacin de un SGSI o un formato particular para la documentacin

y los registros. Los procedimientos de certificacin se deben concentrar en establecer

que el SGSI de una organizacin cliente cumple con los requisitos de ISO/IEC 27001 y

las polticas y objetivos de la organizacin cliente.

7/27/2019 NCh-ISO 27006-2010-047

21/61

NCh-ISO 27006

15

El plan de auditora debera identificar las tcnicas de auditora asistidas en red que se

utilizarn durante la auditora, segn sea pertinente.

NOTA - Las tcnicas de auditora asistidas en red pueden incluir, por ejemplo, teleconferencias, reunionespor Internet, comunicaciones interactivas por Internet y acceso electrnico remoto a la documentacin del

SGSI y/o a los procesos del SGSI. El alcance de tales tcnicas se debera ampliar a la efectividad y eficiencia

de la auditora y debera ser un respaldo a la integridad del proceso de auditora.

9.1.6 SI 9.1.6 Informe de auditora de certificacin

9.1.6.1El organismo de certificacin puede adoptar procedimientos para los informes

segn sus necesidades, pero como mnimo estos procedimientos deben garantizar que:

a) se efecte una reunin entre el equipo de auditora y la direccin de la organizacin

cliente antes de dejar las instalaciones de la organizacin cliente donde el equipo de

auditora da:

1) una indicacin escrita u oral sobre la conformidad del SGSI de la organizacin

cliente con los requisitos particulares de certificacin,

2) una oportunidad para que la organizacin cliente haga preguntas sobre los

hallazgos y sus fundamentos;

b) el equipo de auditora proporciona al organismo de certificacin un informe de

auditora de sus hallazgos con respecto a la conformidad del SGSI de la organizacin

cliente con todos los requisitos de certificacin.

9.1.6.2 El informe de auditora debera entregar la informacin siguiente:

a) una cuenta de la auditora que incluya un resumen de la revisin del documento;

b) una cuenta de la auditora de certificacin del anlisis de riesgos sobre la seguridad

de la informacin perteneciente a la organizacin cliente;

c) plazo total de auditora utilizado y especificacin detallada del tiempo destinado a la

revisin del documento, evaluacin del anlisis de riesgos, auditora in situ e informe

de auditora;

d) consultas hechas sobre la auditora, fundamento para su seleccin y metodologa

empleada.

9.1.6.3 El informe de auditora de los hallazgos otorgado por el organismo de

certificacin debe ser suficientemente detallado para facilitar y respaldar una decisin de

certificacin y debe contener:

a) reas cubiertas por la auditora (por ejemplo, los requisitos de certificacin y los

sitios que se auditaron), incluidos antecedentes importantes de la auditora y sus

metodologas utilizadas (ver SI 9.1.5);

7/27/2019 NCh-ISO 27006-2010-047

22/61

NCh-ISO 27006

16

b) observaciones realizadas, tanto positivas (por ejemplo, caractersticas dignas de

destacar) como negativas (por ejemplo, posibles no conformidades);

c)

detalles de no conformidades identificadas, respaldadas por evidencia objetiva y unareferencia de ellas respecto de los requisitos de ISO/IEC 27001 del SGSI u otros

documentos requeridos para la certificacin;

d) comentarios sobre la conformidad del SGSI de la organizacin cliente con los

requisitos de certificacin y una clara declaracin de no conformidad, una referencia

a la versin de la Declaracin de Aplicabilidad y, donde sea aplicable, una

comparacin til con los resultados de anteriores auditoras de certificacin de la

organizacin cliente.

Cuestionarios completos, as como lista de verificacin, observaciones, registros o notas

del auditor podran formar parte integral del informe de auditora. Si se utilizan estosmtodos, se deben presentar estos documentos al organismo de certificacin como

evidencia para respaldar la decisin de certificacin. Se debera incluir informacin sobre

las muestras evaluadas durante la auditora en el informe de auditora o en otra

documentacin de certificacin.

El informe debe considerar la adecuacin de la organizacin interna y los procedimientos

adoptados por la organizacin cliente para entregar confianza en el SGSI.

Adems de los requisitos para informar establecidos en ISO/IEC 17021:2006, 9.1.10 el

informe debera cubrir:

- el grado de confianza que se puede tener en las auditoras internas del SGSI y las

revisiones por la direccin;

- un resumen de las observaciones ms importantes, tanto positivas como negativas,

sobre la implementacin y efectividad del SGSI;

- la recomendacin del equipo de auditora sobre la necesidad de certificar o no el

SGSI de la organizacin cliente con informacin que sustente esta recomendacin.

9.2 Auditora inicial y certificacin



9.2.1 SI 9.2.1 Competencia del equipo de auditora

Los requisitos siguientes se aplican a la evaluacin de certificacin, adems de los

requisitos que se enumeran en 7.2. Para actividades de vigilancia se aplican slo

aquellos requisitos que son pertinentes para el seguimiento programado.

7/27/2019 NCh-ISO 27006-2010-047

23/61

NCh-ISO 27006

17

Los requisitos siguientes se aplican a todo el equipo de auditora.

a) Al menos un integrante del equipo de auditora debe satisfacer los criterios del

organismo de certificacin para asumir la responsabilidad dentro del equipo en cadauna de las reas siguientes:

1) direccin del equipo,

2) sistemas de gestin y proceso aplicable al SGSI,

3) conocimiento de los requisitos legislativos y regulatorios en el campo particular

de seguridad de la informacin,

4) identificacin de la seguridad de la informacin relacionada con amenazas y

tendencias de incidentes,

5) identificacin de las vulnerabilidades de la organizacin cliente y comprensin de

la probabilidad de su explotacin, su impacto, y mitigacin y control,

6) conocimiento de los controles del SGSI y su implementacin,

7) conocimiento de la revisin de la efectividad del SGSI y medicin de los

controles,

8) normas del SGSI relacionadas y/o pertinentes, mejores prcticas de la industria,

polticas y procedimientos de seguridad,

9) conocimiento de mtodos de manejo de incidentes y continuidad del negocio,

10) conocimiento sobre activos tangibles e intangibles de informacin y anlisis de

impacto,

11) conocimiento de la actual tecnologa donde la seguridad podra ser pertinente o

un tema a tratar,

12) conocimiento de los procesos y mtodos de gestin de riesgos;

b) El equipo de auditora debe ser competente para rastrear indicios de incidentes de

seguridad en el SGSI de la organizacin cliente respecto de los elementes apropiados

del SGSI.

c) El equipo de auditora debe tener la experiencia laboral apropiada y aplicacin

prctica de los temes mencionados anteriormente (esto no significa que un auditor

requiere un amplio rango de experiencia en todas las reas de seguridad de la

informacin, pero todo el equipo de auditora debera tener el suficiente conocimiento

y experiencia para cubrir el alcance del SGSI que se audita).

Un equipo de auditora puede consistir de una persona siempre que cumpla todos los

criterios fijados en a).

7/27/2019 NCh-ISO 27006-2010-047

24/61

NCh-ISO 27006

18

9.2.1.1 SI 9.2.1.1 Demostracin de competencia del auditor

Los auditores deben tener la capacidad para demostrar su conocimiento y experiencia,

como se describe anteriormente, por ejemplo a travs de:

a) calificaciones especficas reconocidas sobre el SGSI;

b) registro como auditor;

c) cursos de capacitacin aprobados sobre el SGSI;

d) antecedentes actualizados del desarrollo profesional constante;

e) demostracin prctica a travs de auditores presenciales que efectan el proceso de

auditora del SGSI con sistemas de clientes reales.

9.2.2 SI 9.2.2 Preparaciones generales para la auditora inicial

El organismo de certificacin debe requerir que la organizacin cliente haga todos los

arreglos necesarios para efectuar la auditora de certificacin, lo que incluye la entrega

de documentacin que se pueda examinar y el acceso a todas las reas, registros

(incluidos informes de auditora interna e informes de revisiones independientes de la

seguridad de la informacin) y el personal para la auditora de certificacin, auditora de

renovacin de la certificacin y resolucin de reclamos.

El cliente debe al menos entregar la informacin siguiente antes de la auditora decertificacin in situ:

a) informacin general sobre el SGSI y las actividades que cubre;

b) copia de la documentacin del SGSI requerida en ISO/IEC 27001:2005, 4.3.1 y,

donde sea necesario, documentacin asociada.

9.2.3 SI 9.2.3 Auditora inicial de certificacin

9.2.3.1 SI 9.2.3 Etapa 1 de la auditora

En esta etapa de auditora, el organismo de certificacin debe obtener la documentacin

sobre el diseo del SGSI que cubra la documentacin requerida en ISO/IEC 27001,

4.3.1.

El objetivo de la etapa 1 de la auditora consiste en proporcionar un enfoque para la

planificacin de la etapa 2 de la auditora al comprender el SGSI en el contexto de la

poltica y objetivos del SGSI de la organizacin cliente y, en particular, de su estado de

preparacin para la auditora.

7/27/2019 NCh-ISO 27006-2010-047

25/61

NCh-ISO 27006

19

La etapa 1 de la auditora incluye, pero no se debera restringir, la revisin de la

documentacin. El organismo de certificacin debe acordar con la organizacin cliente cundo

y dnde se realizar la revisin de la documentacin. En todos los casos, la revisin de la

documentacin se debe completar antes de comenzar la etapa 2 de la auditora.

Los resultados de la etapa 1 de la auditora se deben documentar en un informe por

escrito. El organismo de certificacin debe revisar el informe de la etapa 1 de la auditora

antes de decidir seguir con la etapa 2 y para elegir a los integrantes del equipo de la

etapa 2 de la auditora que tengan la competencia necesaria.

El organismo de certificacin debe dar a conocer a la organizacin que se podra

necesitar ms informacin y antecedentes para efectuar un examen detallado durante la

etapa 2 de la auditora.

9.2.3.2 SI 9.2.3.2 Etapa 2 de la auditora

9.2.3.2.1La etapa 2 de la auditora siempre se realiza in situ en la organizacin cliente.

Sobre la base de los hallazgos detallados en el informe de la etapa 1 de la auditora, el

organismo de certificacin elabora un plan de auditora para efectuar la etapa 2. Los

objetivos de la etapa 2 de la auditora son:

a) confirmar que la organizacin cliente cumple sus propias polticas, objetivos y

procedimientos;

b) confirmar que el ISMS cumple todos los requisitos de ISO/IEC 27001 del SGSI y que

logra los objetivos de la poltica que ha emprendido la organizacin cliente.

9.2.3.2.2 Para ello, la auditora se debe concentrar en ciertas caractersticas de la

organizacin cliente como:

a) evaluacin de riesgos relacionados con la seguridad de la informacin y que las

evaluaciones produzcan resultados comparables y reproducibles;

b) requisitos de documentacin detallados en ISO/IEC 27001:2005, 4.3.1;

c) seleccin de los objetivos de control y controles basados en la evaluacin de riesgos

y los procesos de tratamiento de riesgos;

d) revisin de la efectividad del SGSI y las mediciones de la efectividad de los controles

de la seguridad de la informacin para informar y revisarlos respecto de los objetivos

del SGSI;

e) auditoras internas del SGSI y revisiones por la direccin;

f) responsabilidad de la direccin en la poltica de seguridad de la informacin;

g) correspondencia entre los controles elegidos e implementados, la Declaracin de

Aplicabilidad y los resultados de la evaluacin de riesgos y el proceso de tratamiento

de riesgos, as como la poltica y objetivos del SGSI;

7/27/2019 NCh-ISO 27006-2010-047

26/61

NCh-ISO 27006

20

h) implementacin de controles (ver Anexo D), tomando en consideracin las

mediciones de efectividad que tiene la organizacin respecto de los controles

[ver d)], para determinar si se implementan los controles y cules pueden lograr los

objetivos estipulados;

i) programas, procesos, procedimientos, registros, auditoras internas y revisiones de la

efectividad del SGSI para garantizar que sean trazables para las decisiones de la

direccin y la poltica y objetivos del SGSI.

9.2.3.3 SI 9.2.3.3 Elementos especficos para la auditora del SGSI

El papel del organismo de certificacin consiste en establecer que las organizaciones

cliente sean consistentes en establecer y mantener los procedimientos para la

identificacin, examen y evaluacin de las amenazas, relacionadas a la seguridad de la

informacin frente a los activos, vulnerabilidades e impactos sobre la organizacincliente. Los organismos de certificacin deben:

- requerir que la organizacin cliente demuestre que el anlisis de las amenazas

relacionadas con la seguridad sea pertinente y adecuado para la operacin de dicha

organizacin;

NOTA - La organizacin cliente es responsable de definir los criterios mediante los cuales los riesgos de

seguridad de la informacin de la organizacin cliente se consideran importantes, como para desarrollar

procedimiento(s) para su ejecucin.

- establecer si los procedimientos de la organizacin cliente para la identificacin,

examen y evaluacin de las amenazas, relacionadas con la seguridad de lainformacin en relacin a activos, vulnerabilidades e impactos, y los resultados de su

aplicacin son consistentes con la poltica, objetivos y metas de la organizacin

cliente.

El organismo de certificacin tambin debe establecer si los procedimientos empleados

en el anlisis de significacin son importantes y se han implementado de forma

apropiada. Si se identifica como significativa una amenaza relacionada con la seguridad

de la informacin respecto de los activos, una vulnerabilidad o un efecto sobre la

organizacin cliente, se debe gestionar dentro del SGSI.

9.2.3.3.1 Cumplimiento regulatorio y legal

El mantenimiento y la evaluacin del cumplimiento legal y regulatorio es responsabilidad

de la organizacin cliente. El organismo de certificacin se debe restringir a verificar y

tomar muestras para establecer la confianza de que el SGSI funciona. Asimismo, debe

verificar que la organizacin cliente tenga un sistema de gestin para lograr el

cumplimiento legal y regulatorio aplicable para los riesgos de seguridad de la informacin

y sus impactos.

7/27/2019 NCh-ISO 27006-2010-047

27/61

NCh-ISO 27006

21

9.2.3.3.2 Integracin de la documentacin del SGSI con aquella de otros sistemas de

gestin

La organizacin cliente puede integrar la documentacin del SGSI con otros sistemas degestin (tales como de calidad, ambiental y salud y seguridad) siempre que el SGSI se

pueda identificar claramente junto con las interfaces adecuadas para otros sistemas.

9.2.3.3.3 Combinacin de auditora de sistemas de gestin

Un organismo de certificacin puede ofrecer otra certificacin de sistema de gestin

vinculada a la del SGSI o slo la certificacin del SGSI.

La auditora del SGSI se puede combinar con auditoras de otros sistemas de gestin.

Esta combinacin es posible si se puede demostrar que la auditora satisface todos los

requisitos para la certificacin del SGSI. Todos los elementos importantes para un SGSIdeben aparecer con claridad e identificarse con facilidad en los informes de auditora. La

calidad de la auditora no se debe ver perjudicada por la combinacin de auditoras.

NOTA - ISO 19011 proporciona directrices para efectuar auditoras combinadas de sistemas de gestin.

9.2.4 SI 9.2.4 Informacin para el otorgamiento de la certificacin inicial

Para proporcionar una base que permita tomar una decisin sobre la certificacin, el

organismo de certificacin debe requerir informes claros que entreguen informacin

suficiente para tomar dicha decisin.

El organismo de certificacin requiere informes del equipo de auditora en varias etapas

durante el proceso de auditora de la certificacin que entrega. Junto con informacin

contenida en archivos, estos informes deberan al menos contener la informacin

requerida en SI 9.1.6.

9.2.5 SI 9.2.5 Decisin de certificacin

La entidad -que podra ser una persona y que toma la decisin sobre otorgar/retirar una

certificacin dentro del organismo de certificacin- debera reunir un nivel de

conocimiento y experiencia en todas las reas y que sea suficiente para evaluar los

procesos de auditora y las recomendaciones asociadas elaboradas por el equipo de

auditora.

La decisin de certificar el SGSI de una organizacin cliente la debe tomar el organismo

de certificacin sobre la base de la informacin reunida durante el proceso de

certificacin y cualquier otra informacin pertinente. Quienes toman la decisin sobre la

certificacin no deben haber participado en la auditora. Esta decisin se debe basar en

hallazgos y la recomendacin de la certificacin del equipo de auditora como se indica

en el informe de auditora de certificacin (ver SI 9.1.6) y alguna otra informacin

pertinente que est disponible para el organismo de certificacin.

7/27/2019 NCh-ISO 27006-2010-047

28/61

NCh-ISO 27006

22

La entidad que toma la decisin de otorgar la certificacin no debera, por lo general,

revocar una recomendacin negativa del equipo de auditora. Si ocurre esta situacin, el

organismo de certificacin debe documentar y justificar el fundamento de la decisin

para revocar la recomendacin.

Con respecto a la decisin sobre la certificacin, ISO/IEC 17021 no menciona un

perodo especfico en que al menos se deba realizar una auditora interna completa del

SGSI y una revisin por la direccin del SGSI de la organizacin cliente. El organismo de

certificacin puede especificar un perodo determinado. Independiente de si el organismo

de certificacin ha elegido especificar una frecuencia mnima, se deben establecer

acciones para garantizar la efectividad de la revisin por la direccin de la organizacin

cliente y sus procesos internos de auditora del SGSI.

No se debe otorgar la certificacin a la organizacin cliente hasta que exista evidencia

suficiente que demuestre que se han implementado arreglos para las revisiones por ladireccin y auditoras internas del SGSI, que son efectivas y que se mantendrn.

9.3 Actividades de vigilancia



9.3.1 SI 9.3 Auditoras de seguimiento

9.3.1.1 Los procedimientos de auditora de seguimiento deben ser consistentes con

aquellos relacionados con la auditora de certificacin del SGSI de la organizacin clientecomo se describe en esta norma.

El propsito del seguimiento es verificar que el SGSI se siga implementando para

considerar las implicancias de los cambios a ese sistema que se inici como resultado de

cambios en la operacin de la organizacin cliente y para confirmar un cumplimiento

constante con los requisitos de la certificacin. Los programas de seguimiento deberan

cubrir por lo general:

a) los elementos del mantenimiento del sistema que corresponden a una auditora

interna del SGSI, revisin por la direccin y acciones preventivas y correctivas;

b) comunicaciones de las partes externas como lo requiere ISO/IEC 27001 del SGSI y

otros documentos que se necesitan para la certificacin;

c) cambios al sistema documentado;

d) reas sujetas a modificacin;

e) elementos seleccionados de ISO/IEC 27001;

f) otras reas seleccionadas como apropiadas.

7/27/2019 NCh-ISO 27006-2010-047

29/61

NCh-ISO 27006

23

9.3.1.2 Como mnimo, el organismo de certificacin debe revisar lo siguiente:

a) la efectividad del SGSI respecto a lograr los objetivos de la poltica de seguridad de

la informacin de la organizacin cliente;

b) el funcionamiento de los procedimientos para evaluar peridicamente y revisar el

cumplimiento con la legislacin y regulaciones pertinentes sobre la seguridad de la

informacin;

c) accin tomada sobre las no conformidades identificadas durante la ltima auditora.

9.3.1.3El seguimiento del organismo de certificacin debera cubrir al menos los puntos

cubiertos para la auditora de seguimiento en ISO/IEC 17021. Adems, tambin se

deberan considerar los temas siguientes:

a) El organismo de certificacin debera poder adaptar su programa de seguimiento a

los temas de seguridad de la informacin relacionados con amenazas,

vulnerabilidades e impactos sobre los activos de la organizacin cliente y justificar

este programa.

b) El organismo de certificacin debera determinar el programa de seguimiento. Se

pueden acordar fechas especficas para las visitas con la organizacin cliente

certificada.

c) Las auditoras de seguimiento se pueden combinar con auditoras de otros sistemas

de gestin. El informe debe indicar claramente los aspectos pertinentes a cadasistema de gestin.

d) El organismo de certificacin requiere supervisar el uso apropiado del certificado.

Durante las auditoras de seguimiento, los organismos de certificacin deben verificar los

registros de apelaciones y reclamos efectuados ante el organismo de certificacin y en

caso que se detecte una no conformidad o fracaso para satisfacer los requisitos de la

certificacin, que la organizacin cliente haya investigado su propio SGSI y los

procedimientos, y que haya tomado la accin correctiva apropiada.

Un informe de seguimiento debe contener, en particular, informacin sobre eliminacinde no conformidades conocidas anteriormente. Como mnimo, el informe que resulte del

seguimiento se debera redactar para cubrir en su totalidad el requisito de a) anterior.

7/27/2019 NCh-ISO 27006-2010-047

30/61

NCh-ISO 27006

24

9.4 Renovacin de la certificacin



9.4.1 SI 9.4 Auditoras de renovacin de la certificacin

9.4.1.1 Los procedimientos de auditora de renovacin de la certificacin deben ser

consistentes con aquellos relacionados con la auditora de certificacin del SGSI de la

organizacin cliente como se describe en esta norma.

Los organismos de certificacin deben tener procedimientos claros que determinen las

circunstancias y condiciones en que se mantendrn las certificaciones. Si se encuentran

no conformidades en una auditora de seguimiento o renovacin de la certificacin, el

organismo de certificacin debe corregirlas dentro de un plazo determinado. Si no sehace la correccin dentro del plazo acordado, se debe reducir el alcance de la

certificacin o se suspende o retira el certificado.

El plazo para tomar la accin correctiva debera ser consistente con la gravedad de la no

conformidad y el riesgo para asegurar que los productos o servicios de la organizacin

cliente cumplen los requisitos especficos.

9.5 Auditoras especiales



9.5.1 SI 9.5 Casos especiales

Las actividades de seguimiento deben estar sujetas a una estipulacin especial si una

organizacin cliente con un SGSI certificado hace modificaciones importantes a su

sistema o si se efecta otro cambio que podra afectar el fundamento de su

certificacin.

9.6 Suspender, retirar o reducir el alcance de la certificacin


9.7 Apelaciones


7/27/2019 NCh-ISO 27006-2010-047

31/61

NCh-ISO 27006

25

9.8 Reclamos



9.8.1 SI 9.8 Reclamos

Los reclamos representan una fuente de informacin como posibles no conformidades.

El organismo de certificacin, tras la recepcin de un reclamo, debera requerir de la

organizacin cliente certificada que establezca, y cuando sea apropiado informe, la

causa del reclamo, incluyendo cualquier factor predeterminado (o predispuesto) dentro

del SGSI de la organizacin cliente.

El organismo de certificacin se debera dar por satisfecho si la organizacin cliente est

usando tales investigaciones para tomar acciones de apoyo/correctivas, las que deberanincluir acciones en cuanto a:

a) notificacin a autoridades adecuadas si la regulacin lo exige;

b) recuperacin de conformidad;

c) prevencin de recurrencia;

d) evaluacin y mitigacin de cualquier incidente de seguridad adverso y sus efectos

asociados;

e) garanta de la interaccin satisfactoria con otros componentes del SGSI;

f) evaluacin de efectividad de las acciones de apoyo/correctivas que se han adoptado.

El organismo de certificacin debe requerir que cada organizacin cliente cuyo SGSI sea

certificado ponga a su disposicin, al solicitrselo, los antecedentes de todos los

reclamos y acciones correctivas tomadas segn los requisitos de ISO/IEC 27001.

9.9 Registros relativos a solicitantes y clientes


7/27/2019 NCh-ISO 27006-2010-047

32/61

NCh-ISO 27006

26

10 Requisitos relativos al sistema de gestin de los organismos de

certificacin

10.1 Opciones


10.2 Opcin 1 - Requisitos del sistema de gestin de acuerdo con ISO 9001


10.3 Opcin 2 - Requisitos generales del sistema de gestin



10.3.1 SI 10.3 Implementacin del SGSI

Se recomienda que los organismos de certificacin implementen un SGSI de acuerdo

con ISO/IEC 27001.

7/27/2019 NCh-ISO 27006-2010-047

33/61

NCh-ISO 27006

27

Anexo A(Informativo)

Anlisis de la complejidad y aspectos especficos del sector al que

pertenece una organizacin

A.1 Potencial de riesgo de la organizacin

Es necesario considerar la complejidad del alcance del SGSI al decidir el plazo de la

auditora y la competencia del auditor. Este anexo entrega un ejemplo en que se analiza la

complejidad de una organizacin cliente.

De este modo, la categora de complejidad asignada a un alcance del SGSI se puede,

utilizar para decidir:

a) los requisitos de competencia de los auditores para efectuar la auditora del SGSI

(un ejemplo de ello se entrega en Anexo B);

b) los requisitos del plazo de la auditora del SGSI (un ejemplo de ello se entrega

en Anexo C);

La Tabla A.1 es una indicacin general de los posibles factores que hay que considerar al

determinar la complejidad del alcance de un SGSI. Se podra requerir su adaptacin a

circunstancias especficas o incluir algn factor especial como sea apropiado.

Al utilizar los criterios de complejidad (ver Tabla A.1) de forma individual, se pueden

clasificar los aspectos de la complejidad del alcance del SGSI en tres categoras: alta,

mediay bajacon una serie de factores. La categora efectiva general de la complejidad se

puede considerar como la categora mxima de todos los factores considerados y el

resultado es la clasificacin alta, mediao baja.

7/27/2019 NCh-ISO 27006-2010-047

34/61

NCh-ISO 27006

28

Tabla A.1 - Criterios para la complejidad del alcance del SGSI

CategoraFactor de complejidad

Alta Media Baja

Cantidad de empleados +

personal de contratista 1 000 200 < 200 - Escala d

- Sistema

- Sistemas

- Sistemas

ventas y

- Tecnolog

informac

- Sistemas

de buqu

Cantidad de usuarios 1 000 000 200 000 < 200 000 - Sistemas- Gobierno

Cantidad de sitios 5 2 1 - Escala d

-

Seguridaclusula

Cantidad de servidores 100 10 < 10 - Escala d- Segurida

(ver ISO

- Telecom

(ver ISO

Cantidad de estaciones de

trabajo + computadores de

escritorio + computadores

porttiles

300 50 < 50 - Control d

Cantidad de personal para

desarrollo y mantenimiento

de aplicaciones

100 20

7/27/2019 NCh-ISO 27006-2010-047

35/61

Tabla A.1 - Criterios para la complejidad del alcance del SGSI(conclusin)

CategoraFactor de complejidad

Alta Media Baja

Tecnologa de red y

encriptacin

Conexin externa y de

Internet con requisitos de

encriptacin, firma digital

o infraestructura de clave

pblica (PKI)

Conexin externa y de Internet

con uso de encriptacin en

instalaciones estndares

integradas y sin requisitos de

firma digital ni PKI

Conexin externa y de Internet

sin requisitos de encriptacin,

firma digital ni PKI

- Telecom

(ver ISO

- Control

clusula

Significado en cumplimiento

legal

Incumplimiento lleva a

posible juicio

Incumplimiento provoca multa

financiera significativa o dao

a renombre comercial

Incumplimiento provoca multa

financiera no significativa o

dao a renombre comercial

- Leyes y

A.15)

Alcance del riesgo de un

sector especfico (remitirse a

clusula A.2 para ejemplos

de categoras de un sector

especifico sobre riesgos deseguridad de la informacin)

Se aplican leyes y

regulaciones de un sector

especfico

No son aplicables leyes ni

regulaciones a un sector

especfico, pero se consideran

riesgos significativos de un

sector especfico

No son aplicables leyes ni

regulaciones a un sector

especfico y tampoco se

consideran riesgos de un

sector especfico

- Escala d

- Leyes

clusula

7/27/2019 NCh-ISO 27006-2010-047

36/61

NCh-ISO 27006

30

A.2 Categoras de un sector especfico del riesgo de seguridad de la

informacin

Los riesgos de la informacin pueden ser especficos al tipo de informacin considerado o alsector en que opera una organizacin. Los ejemplos siguientes ilustran las distintas

categoras de riesgo.

Categoras especficas aplicables a todas las organizaciones:

- sueldos, pensiones, salud y seguridad, antecedentes organizacionales, informacin

interna e interdepartamental, etc.;

- otra informacin de carcter personal identificable;

-

otra informacin comercialmente sensible o crtica, como informacin de investigacin ydesarrollo, informacin de diseo, detalles de clientes, resultados y pronsticos

financieros, planes comerciales, derechos de propiedad intelectual, procesos

manufactureros, etc.

Informacin gubernamental sensible y crtica:

- informacin pblica;

- aplicaciones de gobierno electrnico;

- informacin sobre ciudadanos (por ejemplo, salud, beneficios, impuestos, registros, etc.);

- informacin manejada por proveedores y fabricantes del gobierno, como diseos de

tecnologas de la informacin (TIC), instalaciones, productos, servicios, etc.

Categoras especficas aplicables a clases de organizacin:

- gobierno corporativo, boletn de compaas (listed companies) (posiblemente tambin

otras entidades de envergadura).

Categoras especficas aplicables a sectores comerciales:

- atencin mdica;

- educacin;

- aeroespacial;

- telecomunicaciones;

- servicios financieros;

- instituciones de caridad y sin fines de lucro.

7/27/2019 NCh-ISO 27006-2010-047

37/61

NCh-ISO 27006

31

Anexo B(Informativo)

Ejemplos de reas de competencia del auditor

B.1 Consideraciones de competencia general

Hay varias formas en que un auditor puede probar su conocimiento y experiencia. Se puede

demostrar el conocimiento y la experiencia, por ejemplo, al utilizar ttulos acadmicos

reconocidos. El registro, por ejemplo en el Registro Internacional de Auditores Certificados

(International Register of Certificated Auditors o IRCA) u otra entidad reconocida de registro

de auditores tambin se puede utilizar para demostrar el conocimiento y experiencia

requeridos. El nivel de competencia que requiere el equipo de auditora se debera establecer

segn el campo industrial o tecnolgico de la organizacin y el factor de complejidad.

B.2 Consideraciones de competencia especfica

B.2.1 Conocimiento de ISO/IEC 27001:2005, Anexo A controles

A continuacin se describe el conocimiento tpico en relacin con la auditora del SGSI.

Adems de las reas de control de ISO/IEC 27001:2005, Anexo A enumeradas en la tabla

siguiente, los auditores tambin deberan estar conscientes de otras normas de la familia

NCh27000.

Conocimiento y experiencia de requisitos de polticas y negocios

para la seguridad de la informacin

Poltica de seguridad

Conocimiento y experiencia general de los procesos

comerciales, prcticas y estructuras organizacionales

Organizacin de la seguridad de la informacin

Conocimiento de la evaluacin de activos, inventarios,

clasificaciones y uso aceptable de polticas

Gestin de activos

Conocimiento y experiencia general de los procesos y

procedimientos utilizados por departamentos de recursos humanos

Seguridad en recursos humanos

Conocimiento de seguridad fsica y ambiental Seguridad fsica y ambiental

Comunicaciones y gestin de operaciones

Control de acceso

Conocimiento y experiencia actualizados de normas, procesos,

tcnicas y mtodos usados para la seguridad de la informacin,

lo que incluye acciones de gestin y un nivel apropiado de

experiencia tcnica. Esto abarca conocimiento actual de algunas

de las prcticas comerciales comunes

Adquisicin, desarrollo y mantenimiento de

sistemas de informacin

Conocimiento y experiencia actualizados de los procesos y

procedimientos para la gestin de incidentes

Gestin de incidentes relativos a la seguridad de

la informacin

Conocimiento y experiencia actualizados de normas, procesos,

planes y procedimientos de prueba para la continuidad del negocio

Gestin de la continuidad del negocio

Conocimiento actualizado de temas contractuales comerciales y

leyes y regulaciones generales relacionadas con el SGSI

Cumplimiento

7/27/2019 NCh-ISO 27006-2010-047

38/61

NCh-ISO 27006

32

B.2.2 Conocimiento tpico relacionado con el SGSI

Los auditores deberan tener conocimiento y comprensin de los siguientes temas de

auditora y SGSI:

- programacin y planificacin de auditora;

- tipos y metodologas de auditora;

- riesgos de auditora;

- anlisis de procesos de seguridad de la informacin;

- Ciclo Deming (Planificar, Hacer, Verificar y Actuar (PDCA)) para una mejora continua;

- auditora interna para la seguridad de la informacin.

Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos

regulatorios:

- propiedad intelectual;

- contenido, proteccin y retencin de registros organizacionales;

- proteccin y privacidad de datos;

- regulacin de controles criptogrficos;

- antiterrorismo;

- comercio electrnico;

- firmas electrnicas y digitales;

- seguimiento de la estacin de trabajo;

- intercepcin de telecomunicaciones y monitoreo de datos (por ejemplo, correo

electrnico);

- abuso de computadores;

- recoleccin de evidencia electrnica;

- pruebas de penetracin;

- requisitos de un sector especfico a nivel internacional y nacional (por ejemplo, banca).

Los auditores deberan tener conocimiento y comprensin de los siguientes requisitos de

gestin:

- tratamiento de riesgos de seguridad de la informacin;

- riesgos de seguridad en la contratacin externa (outsourcing) de las tecnologas de la

informacin y comunicacin (TIC);

-

riesgos de seguridad de la informacin en la cadena de suministro.

7/27/2019 NCh-ISO 27006-2010-047

39/61

NCh-ISO 27006

33

Anexo C(Informativo)

Plazo de la auditora

C.1 Introduccin

Este anexo contiene mayor informacin sobre ISO/IEC 17021:2006, 9.1, 9.2, 9.3 y 9.4.

Tambin se debera leer junto con SI 9.1.2, SI 9.1.3, SI 9.1.5, SI 9.1.6, SI 9.2.3.1,

SI 9.2.3.2 y SI 9.2.3.3 de esta norma. Este anexo entrega indicaciones para que el

organismo de certificacin elabore sus propios procedimientos con el fin de que determine el

plazo que necesita para certificar los alcances del SGSI de la organizacin cliente, que

pueden ser de distintos tamaos y complejidades en un amplio espectro de actividades.

Los organismos de certificacin requieren identificar el plazo que necesita el auditor para

efectuar la certificacin inicial, el seguimiento y la renovacin de la certificacin de cada

cliente y SGSI certificado. El uso de este anexo en la etapa de planificacin de la auditora

puede guiar a un enfoque consistente para determinar el plazo adecuado del auditor.

Asimismo, las directrices dadas en este anexo permiten que exista flexibilidad a la luz de lo

que se encuentre durante la auditora, especialmente en la etapa 1 y la complejidad del

alcance del SGSI.

C.2 Procedimiento para determinar el plazo de la auditora

La experiencia ha demostrado que el alcance del SGSI, esto es, la cantidad de empleados

(como se explica en el cuadro de plazos del auditor C.3), el tamao, las caractersticas, la

complejidad y el significado de los potenciales riesgos de seguridad de la informacin (como

se explica posteriormente en mayor detalle) determinarn el plazo de las auditoras del SGSI.

La subclusula SI 9.1.3, y tambin SI 9.2.3.1, SI 9.2.3.2 y SI 9.2.3.3 enumeran los criterios

que se deberan considerar al fijar el plazo que requiere el auditor. Este y otros factores se

necesitan examinar durante el proceso de revisin de contratos del organismo de

certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar al

auditor.

Es importante destacar que todos estos factores se deberan considerar al determinar el plazo

de la auditora y que el cuadro C.3 sobre este tema no se puede aplicar de forma aislada. Los

ejemplos siguientes ilustran los factores que pueden influir en el plazo de la auditora y

profundizar sobre la lista de factores entregados en SI 9.1.3:

- factores relacionados con el tamao del alcance del SGSI (por ejemplo, cantidad de

sistemas de informacin utilizados, volumen de informacin procesada, cantidad de

usuarios, cantidad de usuarios privilegiados, cantidad de plataformas de TI, cantidad de

redes y su tamao);

7/27/2019 NCh-ISO 27006-2010-047

40/61

NCh-ISO 27006

34

- factores relacionados con la complejidad del SGSI (por ejemplo, criticidad de los sistemas

de informacin, la situacin de riesgos del SGSI, volmenes y tipos de informacin

sensible y crtica manejada y procesada, cantidad y tipos de transacciones electrnicas,

cantidad y tamao de proyectos de desarrollo, extensin de trabajos remotos vigentes,extensin de la documentacin del SGSI);

- el (los) tipos(s) de negocios realizado(s) dentro del alcance del SGSI, y los requisitos de

seguridad, legales, regulatorios, contractuales y comerciales relacionados con estos tipos

de negocios;

- extensin y diversidad de la tecnologa utilizada en la implementacin de los diversos

componentes del SGSI (como los controles implementados, documentacin y/o control

de procesos, acciones correctivas/preventivas, sistemas de informacin, sistemas de TI,

redes, por ejemplo si son fijas, mviles, inalmbricas, externas, internas);

- cantidad de sitios dentro del alcance del SGSI, las similitudes o diferencias de estos sitios

y si todos los sitios se auditarn o tan solo una muestra;

- desempeo demostrado anteriormente del SGSI;

- extensin de la contratacin externa (outsourcing) y organizacin de terceros

considerados en el alcance del SGSI y dependencia de estos servicios;

- normas, legislacin y regulaciones que se aplican a la certificacin y cualquier requisito

especfico de un sector que se podra aplicar.

La certificacin de un SGSI por lo general toma ms tiempo que la certificacin de un

sistema de gestin de la calidad o ambiental, debido a los mayores requisitos sobre un

sistema de gestin de la seguridad de la informacin a travs de demandas especficas de un

SGSI, como la poltica del SGSI, la gestin de riesgos y los objetivos del control del SGSI y

los controles. El organismo de certificacin requiere:

a) auditar la validez y consistencia del mtodo mediante el cual la organizacin cliente

determina el significado de sus riesgos y efectos de la seguridad de la informacin;

b) confirmar que el sistema diseado para lograr el cumplimiento (con toda la legislacin

pertinente y otros requisitos que se aplican al SGSI) es capaz de realizarlo y que elsistema se implemente y mantiene;

c) confirmar que los objetivos del control y los controles se han seleccionado e

implementado correctamente, que se mide su efectividad y que el proceso para prevenir

y responder apropiadamente a fallas en la seguridad es eficaz y se cumple;

d) confirmar que se cumplan los requisitos documentados del SGSI de la organizacin

cliente;

e) reaccionar a mayores demandas que surjan de la etapa 1 de la auditora.

7/27/2019 NCh-ISO 27006-2010-047

41/61

NCh-ISO 27006

35

C.3 Cuadro de plazos del auditor

C.3.1 General

El cuadro de plazos del auditor fija una cantidad promedio de los das iniciales de una

auditora (en este y en los cuadros siguientes, esta cantidad incluye los das para la etapa 1

y etapa 2 de la auditora), que segn la experiencia ha demostrado ser apropiada para el

alcance de un ISMS con una cantidad determinada de empleados. La experiencia tambin ha

indicado que para el alcance del SGSI de un tamao similar, se requerir un plazo parecido.

La variacin del tiempo destinado en cada certificacin depende de la cantidad de factores

como el tamao, alcance de la auditora, logstica, complejidad de la organizacin cliente y su

estado de preparacin para la auditora (ver tambin clusula C.2). Este y otros factores

necesitan ser examinados durante el proceso de revisin del contrato del organismo de

certificacin para determinar el potencial impacto sobre el tiempo que se le otorgar alauditor. Por lo tanto, el cuadro de plazo del auditor no se puede utilizar de forma aislada.

Este cuadro entrega el marco que se podra utilizar para planificar la auditora al identificar un

punto inicial basado en la cantidad total de empleados de todos los turnos, y ajustar esto en

base a los factores significativos que se aplican al alcance del SGSI que se auditarn y

atribuyen a cada factor una carga aditiva o sustractiva para modificar la cifra base. Los

trminos utilizados en este cuadro se explican en C.3.2.

Cuadro de plazos del auditor

Cantidad de

empleados

Plazo del auditor delsistema de gestin

de la calidad para

auditora inicial

(das del auditor)

Plazo del auditor delsistema de gestin

ambiental para

auditora inicial (das

del auditor)

Plazo del auditordel SGSI para la

auditora inicial

(das del auditor)

Factores aditivos

y sustractivos

Tiempo

total del

auditor

1 - 10 2 3 5 Ver clusula C.2

11 - 25 3 - 7 Ver clusula C.2

26 - 45 4 6 8,5 Ver clusula C.2

46 - 65 5 - 10 Ver clusula C.2

66 - 85 6 - 11 Ver clusula C.2

86 - 125 7 8 12 Ver clusula C.2

126 - 175 8 - 13 Ver clusula C.2

176 - 275 9 - 14 Ver clusula C.2

276 - 425 10 - 15 Ver clusula C.2

426 - 625 11 12 16,5 Ver clusula C.2

626 - 875 12 - 17,5 Ver clusula C.2

876 - 1 175 13 - 18,5 Ver clusula C.2

1 176 - 1 550 14 - 19,5 Ver clusula C.2

1 551 - 2 025 15 18 21 Ver clusula C.2

2 026 - 2 675 16 - 22 Ver clusula C.2

(contina)

7/27/2019 NCh-ISO 27006-2010-047

42/61

NCh-ISO 27006

36

Cuadro de plazos del auditor(conclusin)

Cantidad deempleados

Plazo del auditor del

sistema de gestin

de la calidad para

auditora inicial

(das del auditor)

Plazo del auditor del

sistema de gestin

ambiental para

auditora inicial (das

del auditor)

Plazo del auditor

del SGSI para laauditora inicial

(das del auditor)

Factores aditivosy sustractivos

Tiempo

total del

auditor

2 676 - 3 450 17 - 23 Ver clusula C.2

3 451 - 4 350 18 - 24 Ver clusula C.2

4 351 - 5 450 19 - 25 Ver clusula C.2

5 451 - 6 800 20 - 26 Ver clusula C.2

6 801 - 8 500 21 - 27 Ver clusula C.2

8 501 - 10 700 22 - 28 Ver clusula C.2

>10 700 Seguir progresin - Seguir progresin Ver clusula C.2

C.3.2 Explicacin de trminos

Empleadosen el sentido que aparece en el cuadro de plazos del auditor se refiere a todas las

personas cuyas actividades laborales se relacionan con el alcance del SGSI. La cantidad total

de empleados de todos los turnos es el punto inicial para determinar el plazo de la auditora.

La cantidad efectiva de empleados incluye a quienes no son permanentes (estacionales,

temporales y subcontratados) y que se desempaarn durante el tiempo de la auditora. Un

organismo de certificacin debera acordar con la organizacin que auditar el plazo para

realizar la tarea que demostrarn de la mejor forma el total alcance de la organizacin. Laconsideracin incluye temporada, mes, da y fecha del turno tal como sea apropiado.

Los empleados a tiempo parcial deberan ser tratados como empleados a tiempo completo,

siempre que la cantidad de horas trabajadas se puedan comparar con un empleado a tiempo

completo.

Elplazo del auditorabarca el tiempo destinado por el auditor o el equipo de auditora en la

etapa 1 y etapa 2 de la auditora y la planificacin (incluida la revisin de un documento

fuera de la sede de la organizacin a auditar de ser apropiado); conocimiento de la

organizacin, el personal, los antecedentes, la documentacin y los procesos, y la redaccin

del informe. Se espera que el plazo del auditorconsiderado en tal planificacin y redaccindel informe no debera reducir el total del plazo del auditor en el sitio a auditar a menos

del 70% del tiempo considerado en el cuadro del plazo del auditor. La necesidad de tiempo

adicional para la planificacin y/o redaccin del informe no ser excusa para recortar el

tiempo que estar el auditor en el sitio a auditar. El tiempo de viaje del auditor no se incluye

en este clculo y es adicional al plazo del auditor referido en el cuadro.

NOTA 1) El 70% es un factor basado en la experiencia de auditoras del SGSI.

7/27/2019 NCh-ISO 27006-2010-047

43/61

NCh-ISO 27006

37

Si se utilizan tcnicas remotas como la colaboracin interactiva por Internet, reuniones

virtuales, teleconferencias y/o verificacin electrnica de los procesos de la organizacin para

comunicarse con la organizacin, se deberan identificar estas actividades en el plan de la

auditora (ver SI 9.1.5) y se podra considerar que contribuye parcialmente al total delplazodel auditor in situ.

Si el organismo de certificacin contempla un plan de auditora para el cual las actividades

remotas de auditora representan ms del 30% del tiempo planificado de auditora in situ, el

organismo de certificacin debera justificar el plan de auditora y obtener una aprobacin

especfica del organismo de certificacin antes de su implementacin.

NOTA 2) El tiempo de

NCh-ISO 27006-2010-047

Documents

Transcript of NCh-ISO 27006-2010-047