La organización evalúa continuamente el desempeño de su SGSI mediante un sistema integral que combina seguimiento y medición de indicadores, auditorías internas planificadas e independientes y revisiones periódicas por la dirección. Los datos se recopilan de fuentes confiables, se analizan con metodologías establecidas y se comunican oportunamente a los niveles de decisión, lo que permite confirmar la eficacia de los controles, evidenciar el cumplimiento de objetivos y detectar oportunidades de mejora.
Auditoría Interna
La organización lleva a cabo auditorías internas periódicas del SGSI para verificar el cumplimiento de los requisitos de la norma ISO/IEC 27001:2022, de la propia política y procedimientos internos, y para evaluar la eficacia de los controles implementados.
Se elabora anualmente un Programa de Auditoría Interna (FOR 006) que cubre todos los procesos, ubicaciones y controles relevantes. El calendario asegura cobertura completa sin solapamientos y considera riesgos y resultados de auditorías previas.
Se designan auditores internos competentes e independientes de las áreas auditadas, garantizando imparcialidad y objetividad. Los auditores reciben formación específica en técnicas de auditoría y en requisitos de la ISO 27001.
Se aplican listas de verificación basadas en cláusulas 4-10 y en los controles del Anexo A. Se recogen evidencias (documentos, registros, entrevistas, observaciones) y se documentan hallazgos.
Tras cada auditoría, el Auditor Interno elabora un informe con no conformidades, oportunidades de mejora y fortalezas. El informe se presenta al Comité de Seguridad y a la alta dirección.
Todas las no conformidades detectadas generan acciones correctivas que se registran. El Responsable del SGSI supervisa el cierre de las acciones y verifica su eficacia.
Se evalúa anualmente la eficacia del programa de auditoría (cobertura, competencia de auditores, calidad de informes). Se ajustan criterios, frecuencias y alcance para mejorar el valor añadido del proceso.
La organización planifica, establece y mantiene un programa de auditoría interna para evaluar de manera objetiva la conformidad y eficacia del SGSI, asegurando que los resultados impulsen la mejora continua.
Se desarrolla un programa anual de auditorías internas que cubre todos los procesos y áreas relevantes del SGSI.
Se asignan auditores competentes, independientes y con formación específica en seguridad de la información.
Se utilizan criterios y métodos definidos para la ejecución de las auditorías, incluyendo revisiones documentales, entrevistas y pruebas operativas.
Se documentan los hallazgos y se comunican oportunamente a la alta dirección y a los responsables de área.
Se da seguimiento riguroso a las acciones correctivas derivadas de las auditorías para verificar su implementación y eficacia.
Las auditorías internas se realizan de manera sistemática y planificada, asegurando la independencia y objetividad de los auditores. Este proceso es fundamental para verificar la conformidad del SGSI con los requisitos de la norma ISO 27001 y para identificar oportunidades de mejora continua.
Mediante la implementación de un programa anual de auditorías, la designación de auditores competentes e independientes, la ejecución sistemática de auditorías basadas en criterios definidos, y el seguimiento riguroso de las acciones correctivas derivadas de los hallazgos.
El responsable del SGSI coordina el programa de auditorías internas. Los auditores internos designados ejecutan las auditorías. La Dirección revisa los resultados y aprueba las acciones correctivas. Todas las áreas son responsables de implementar las acciones correctivas derivadas de las auditorías.