ISO 27006

Permite la acreditación de los organismos que están certificando sistemas de gestión de

seguridad de la información.

Descripción de la norma

El estándar ISO 27006 responde a una guía para los organismos de certificación en los
procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en
dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es
válido.

ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que

ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Se
encarga de especificar los requisitos y suministrar una guía para la auditoría y la
certificación del sistema. Cualquier organización certificada en ISO27001 debe cumplir
también con los requisitos de la norma ISO27006.El proceso de certificación consiste en
auditar el SGSI para el cumplimiento de ISO 27001. Los auditores de certificación solo
tienen interés pasajero en los controles reales de seguridad de información que están
siendo administrados por el sistema de gestión. Se supone que cualquier empresa con una
queja del SGSI es, ha de gestionar sus riesgos de seguridad de información con diligencia.

ISO 27006: 2015 establece estándares para la demostración de la competencia de los

auditores de SGSI. Auditoría del Organismo de Certificación ISMS está obligado a
verificar que cada auditor en el equipo de auditoría tenga conocimiento de:

- Monitoreo, medición, análisis y evaluación de SGSI.

- Seguridad de información.
- Sistemas de gestión.
- Principios de auditoría.
- Conocimientos técnicos de los sistemas a auditar.

Todos los auditores del equipo deben estar familiarizados con la terminología, los
principios y las técnicas de la gestión de sistemas de información. Deben conocer todos
los requisitos de la norma ISO 27001, todos los controles enumerados en la norma ISO
27002. Además, los auditores deben conocer las prácticas de gestión empresarial, los
requisitos legales y reglamentarios en un campo de sistemas de información, geografía y
jurisdicciones particulares.
La competencia también debe ser demostrada por el personal que revisa las auditorías y
toma decisiones de certificación. Deben tener conocimientos suficientes para verificar la
precisión del alcance de la certificación. Además, deben tener un conocimiento general
de los sistemas de gestión, procedimientos de auditoría, principios y técnicas.

ISO27006: 2015 también describe la educación adecuada, el desarrollo profesional, la

capacitación que cubre las auditorías ISMS y el nivel de experiencia actual / relevante.

Los requisitos generales a los que hace referencia son:

- Orientación específica del SGSI en relación con la imparcialidad.

- Listado del trabajo que pudiera estar en conflicto.
- Inclusión de una lista de todas las actividades que se pueden realizar fuera.

Esto supone la definición clara de los requisitos que deben satisfacer los organismos
certificadores, que posteriormente son quienes otorgan el sello ISO 27006 a las
instituciones y empresas que solicitan el proceso de certificación.

Aplicación

Estructura estándar: Descripción de la estructura de la normal.

Evaluación y tratamiento del riesgo: Indicaciones sobre como evaluar y tratar los riesgos
de seguridad de la información.

Política de seguridad: Documento de política de seguridad y su gestión.

Aspectos organizativos de la seguridad de la información: Organización interna; terceros.

Gestión de activos: Responsabilidad sobre los activos; clasificación de la información.

Seguridad ligada a los recursos humanos: Antes del empleo; durante el empleo; cese del
empleo o cambio de puesto de trabajo.

Seguridad física y ambiental: Áreas seguras; seguridad de los equipos.