Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

IU-SOP-06-03 Auditorías internas de Seguridad de la Información

Anuncio 
AUDITORÍAS INTERNAS DE SEGURIDAD DE
LA INFORMACIÓN
IU-SOP-06-03
Vigencia:
14-01-2010
PERTENECE AL PROCESO ADMINISTRACIÓN EFICIENCIA
OPERATIVA DEL MARCROPROCESO SOPORTE
Versión:
1
INSTRUCTIVO DE USUARIO
INFORMACIÓN INTERNA
Gestión de Incidentes de
Seguridad
Página 1 de 5
Este documento impreso se considera copia no controlada
AUDITORÍAS INTERNAS DE SEGURIDAD DE
LA INFORMACIÓN
IU-SOP-06-03
Vigencia:
14-01-2010
PERTENECE AL PROCESO ADMINISTRACIÓN EFICIENCIA
OPERATIVA DEL MARCROPROCESO SOPORTE
Versión:
1
INSTRUCTIVO DE USUARIO
INFORMACIÓN INTERNA
Tabla de contenido
CARACTERISTICAS .......................................................................................... 2
AUDITORÍAS INTERNAS DE SEGURIDAD DE LA INFORMACIÓN ............................... 3
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
DEFINICIONES................................................................................................................... 3
RECOMENDACIONES GENERALES ............................................................................................. 3
PERIODICIDAD Y ALCANCE DE LAS AUDITORIAS ............................................................................ 3
PROGRAMACIÓN DE LAS AUDITORIAS ........................................................................................ 3
PLANEACIÓN DE LAS AUDITORIAS ............................................................................................ 3
REALIZACIÓN DE LAS AUDITORIAS ........................................................................................... 3
DOCUMENTACIÓN DE LOS RESULTADOS ...................................................................................... 4
PLANES DE ACCIÓN ............................................................................................................. 4
SEGUIMIENTO ................................................................................................................... 4
INFORME FINAL ............................................................................................................... 4
NOMBRAMIENTO DE LOS AUDITORES INTERNOS DE SEGURIDAD ....................................................... 4
CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS .......................................... 5
CARACTERISTICAS
OBJETO
Definir la metodología de Auditorías de seguridad de la información
Este instructivo aplica para las Auditarías Internas de Seguridad de la Información de Leasing
ALCANCE
DUEÑO
SOFTWARE Y
HARDWARE
Bolívar a nivel nacional.

Todos los Jefes de las Áreas y Dueños de Procesos
N/A
Página 2 de 5
Este documento impreso se considera copia no controlada
IU-SOP-06-03
AUDITORÍAS INTERNAS DE SEGURIDAD DE
LA INFORMACIÓN
Vigencia:
14-01-2010
PERTENECE AL PROCESO ADMINISTRACIÓN EFICIENCIA
OPERATIVA DEL MARCROPROCESO SOPORTE
Versión:
1
INSTRUCTIVO DE USUARIO
INFORMACIÓN INTERNA
AUDITORÍAS INTERNAS DE SEGURIDAD DE LA INFORMACIÓN
Para ayudar en la detección y mejora de desviaciones o errores en el Sistema de Gestión de Seguridad de la
Información propuesto por la Norma ISO 27001, se ha establecido una serie de planes para la auditoría interna
que se efectuará con periodicidad anual.
Las auditorías son orientadas por el Representante de la Gerencia, acompañado por los auditores internos
(colaboradores de Leasing Bolívar previamente capacitados en el tema y sin vínculo directo sobre el área a
auditar), quienes validan el cierre de las no-conformidades y acompañan en el plan de acción que cada área debe
iniciar para eliminar las causantes de las no-conformidades.
1.1 Definiciones
• Auditado: persona, organización o proceso que está siendo sometido a la auditoria.
• Auditor: persona con las competencias para llevar a cabo las auditorias.
• Auditoria de seguridad: proceso sistemático, independiente y documentado para obtener evidencias sobre el nivel de
cumplimiento de los requisitos establecidos previamente al SGSI fuente de estudio.
• Evidencia: registros u otra declaración de hechos que soporte a los requisitos del SGSI.
• No conformidad: incumplimiento de un requisito del SGSI.
• Observación: recomendación o declaración hecha por el auditor sobre un punto específico del
SGSI y que potencialmente podría convertirse en una no-conformidad.
1.2 Recomendaciones Generales
Los auditores no podrán auditar su propio proceso o donde tengan alguna relación o interés particular.
1.3 Periodicidad y Alcance de las Auditorias
Las auditorías internas al Sistema de Gestión de Seguridad de la Información de Leasing Bolívar serán llevadas a cabo cada
año, con el fin de garantizar la adecuación del SGSI con la Norma ISO 27001.
1.4 Programación de las Auditorias
Las auditorias serán programadas por el Comité de Seguridad de la Información y concertadas con los auditores internos.
Esta programación será aprobada por la Gerencia General.
1.5 Planeación de las Auditorias
El grupo auditor, en unión con el Comité de Seguridad de la información, deberá definir:
• Procesos a auditar y responsables.
• Objetivos y alcance de la auditoria.
• Miembros del equipo de auditoria
• Lugar, hora y fecha de las auditorias
• Documentos de referencia
1.6 Realización de las Auditorias
Básicamente, las auditorías internas de seguridad de Leasing Bolívar. Se componen de tres grandes etapas así:
Página 3 de 5
Este documento impreso se considera copia no controlada
IU-SOP-06-03
AUDITORÍAS INTERNAS DE SEGURIDAD DE
LA INFORMACIÓN
Vigencia:
14-01-2010
PERTENECE AL PROCESO ADMINISTRACIÓN EFICIENCIA
OPERATIVA DEL MARCROPROCESO SOPORTE
Versión:
1
INSTRUCTIVO DE USUARIO
INFORMACIÓN INTERNA
Comienzo de la auditoría
El equipo de auditores, convoca una reunión con las personas responsables de los procesos y áreas a auditar con el fin de
dar a conocer el cronograma, metodología, alcance y resolver las dudas que se puedan presentar.
Recolección de evidencias
El auditor, con base en el plan de auditorías ANEXO 1 “FR-SOP-06-02 Plan de Auditoría Interna”, deberá revisar los
procedimientos, registros, instructivos, formatos y demás documentos soporte del funcionamiento del SGSI, con el fin de
asegurase que estos ofrecen la suficiente evidencia de su correcto funcionamiento.
Igualmente, a manera de guía, el auditor podrá plasmar en el formato ANEXO 2 “FR-SOP-06-03 Formato de Preguntas para
Auditoría Interna” la guía para la recolección de evidencia.
Reunión de cierre
Una vez se ha llevado a cabo la auditoria, el equipo de auditores debe convocar a las personas responsables de los
procesos y áreas a auditar con el fin de dar a conocer los resultados de la misma, específicamente en lo referente a noconformidades encontradas, potenciales no- conformidades, fortalezas y observaciones.
1.7 Documentación de los resultados
Los auditores consignarán los hallazgos de la auditoría interna en el formato destinado para tal fin: ANEXO 3 “FR-SOP-0604 Informe de Auditoría Interna”, tanto si se encontraron no-conformidades o no.
1.8 Planes de acción
El responsable del proceso o área auditada con no-conformidades, deberá plantear un plan de acción tendiente a eliminar
las causas del problema, considerando: acciones a tomar, plazo, responsables y recursos. Este plan de acción será evaluado
por el equipo auditor, asegurando su pertinencia.
1.9 Seguimiento
Según la fecha acordada dentro del plan de acción entregado por el responsable del área o proceso, el grupo de auditores
revisará los resultados obtenidos verificando la eliminación de la no-conformidad o la reincidencia de la misma.
1.10
Informe final
El grupo auditor, deberá presentar ante el Comité de Seguridad de la Información los resultados definitivos de las
auditorías internas, incluyendo las no-conformidades, potenciales no-conformidades, fortalezas, acciones a tomar, plazos,
recursos y demás factores que se consideren necesarios para la presentación del informe.
1.11
Nombramiento de los auditores Internos de Seguridad
Las personas que tomarán el rol de auditores internos de calidad serán las personas que hayan recibido la
capacitación correspondiente en el tema. Adicionalmente, se deberá considerar que la persona no podrá ser
asignada a la auditoria en el área donde se desempeña o donde pudiera llegar a tener algún interés o relación.
Página 4 de 5
Este documento impreso se considera copia no controlada
AUDITORÍAS INTERNAS DE SEGURIDAD DE
LA INFORMACIÓN
IU-SOP-06-03
Vigencia:
14-01-2010
PERTENECE AL PROCESO ADMINISTRACIÓN EFICIENCIA
OPERATIVA DEL MARCROPROCESO SOPORTE
Versión:
1
INSTRUCTIVO DE USUARIO
INFORMACIÓN INTERNA
CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS
VERSIÓN
FECHA
DESCRIPCIÓN DE CAMBIOS
01
14/01/2010
Versión inicial
ELABORADO POR
APROBADO POR
Nathalia Prada
Carlos Rubio
Analista de Procesos
Jefe Riesgo Operativo
Página 5 de 5
Este documento impreso se considera copia no controlada
Documentos relacionados
GC-F-22 HOJA DE RUTA AUDITORIAS INTERNAS
GC-F-22 HOJA DE RUTA AUDITORIAS INTERNAS
PERFIL DE CARGO Auditor Interno TI
PERFIL DE CARGO Auditor Interno TI
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
Definir el procedimiento para asignar responsabilidades y
Definir el procedimiento para asignar responsabilidades y
El equipo auditor
El equipo auditor
SEGUNDA SEMANA TAREA No. 2 Tema: Generalidades sobre las
SEGUNDA SEMANA TAREA No. 2 Tema: Generalidades sobre las
Cumplimiento de las metas definidas en el Plan de
Cumplimiento de las metas definidas en el Plan de
Auditores Internos El perfil del Cargo es el siguiente: Requisitos
Auditores Internos El perfil del Cargo es el siguiente: Requisitos
Descargar
Anuncio
Anuncio