ISO / IEC 27007 es un estándar sobre seguridad de la información, ciberseguridad y protección de la privacidad que proporciona orientación sobre la gestión de un programa de auditoría del sistema de gestión de seguridad de la información (SGSI), sobre la realización de auditorías y sobre la competencia de los auditores del SGSI, además de la orientación contenida en ISO 19011 . Este estándar es aplicable a quienes necesitan comprender o realizar auditorías internas o externas de un SGSI o gestionar un programa de auditoría de SGSI. Fue publicado el 14 de noviembre de 2011 y revisado el 21 de enero de 2020.
Es parte de la familia de normas de la serie ISO / IEC 27000 sobre el sistema de gestión de seguridad de la información (SGSI), que es un enfoque sistemático para proteger la información confidencial, [1] de ISO / IEC. Proporciona estándares para un enfoque sólido para administrar la seguridad de la información y desarrollar la resiliencia. [2]
Descripción general
El estándar trata sobre [3] cómo se puede realizar una auditoría de un sistema de gestión de seguridad de la información basándose en una variedad de criterios de auditoría, por separado o en combinación, que incluyen, entre otros:
- Requisitos definidos en ISO / IEC 27001: 2013.
- Políticas y requisitos especificados por las partes interesadas relevantes.
- Requisitos legales y reglamentarios.
- Procesos y controles del SGSI definidos por la organización u otras partes.
- Planes del sistema de gestión relacionados con la provisión de resultados específicos de un SGSI (por ejemplo, planes para abordar los riesgos y oportunidades al establecer un SGSI, planes para lograr los objetivos de seguridad de la información, planes de tratamiento de riesgos, planes de proyectos).
Este estándar es aplicable a todo tipo de organizaciones independientemente de su tamaño y auditorías de SGSI de diferentes alcances y escalas, incluidas las realizadas por grandes equipos de auditoría, generalmente de organizaciones más grandes, y las realizadas por auditores individuales, ya sea en organizaciones grandes o pequeñas.
Se concentra en las auditorías internas del SGSI (primera parte) y las auditorías del SGSI realizadas por las organizaciones sobre sus proveedores externos y otras partes interesadas externas (segunda parte). Este documento también puede ser útil para auditorías externas de SGSI realizadas con fines distintos a la certificación de sistemas de gestión de terceros. ISO / IEC 27006 proporciona requisitos para auditar el SGSI para la certificación de terceros.
Términos y estructura
Los términos y definiciones dados en esta norma se definen dentro de la norma ISO / IEC 27000 . La norma ISO / IEC 27007 está estructurada de la siguiente manera: [4]
- Principios de auditoría
- Programa de gestión y auditoría
- Realización de una auditoría
- Competencia y evaluación de auditores
Además de eso, tiene 1 anexo (A):
- Anexo A - Orientación para la práctica de auditoría del SGSI
Referencias
- ^ "BS EN ISO / IEC 27001 Gestión de seguridad de la información - Definición precisa de SGSI" . www.iso.org . Consultado el 13 de abril de 2020 .
- ^ "BS EN ISO / IEC 27001 Gestión de la seguridad de la información - Más sobre SGSI en ISO / IEC 27001" . www.bsigroup.com . Consultado el 13 de abril de 2020 .
- ^ "BS EN ISO / IEC 27007 Gestión de la seguridad de la información - Acerca de ISO / IEC 27007" . webstore.iec.ch . Consultado el 13 de abril de 2020 .
- ^ "BS EN ISO / IEC 27007: 2020 - Vista previa de contenidos de ISO / IEC 27007: 2020" . www.iso.org . Consultado el 14 de abril de 2020 .