Documente Academic
Documente Profesional
Documente Cultură
Descripción de la norma
El estándar ISO 27006 responde a una guía para los organismos de certificación en los
procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en
dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es
válido.
Todos los auditores del equipo deben estar familiarizados con la terminología, los
principios y las técnicas de la gestión de sistemas de información. Deben conocer todos
los requisitos de la norma ISO 27001, todos los controles enumerados en la norma ISO
27002. Además, los auditores deben conocer las prácticas de gestión empresarial, los
requisitos legales y reglamentarios en un campo de sistemas de información, geografía y
jurisdicciones particulares.
La competencia también debe ser demostrada por el personal que revisa las auditorías y
toma decisiones de certificación. Deben tener conocimientos suficientes para verificar la
precisión del alcance de la certificación. Además, deben tener un conocimiento general
de los sistemas de gestión, procedimientos de auditoría, principios y técnicas.
Esto supone la definición clara de los requisitos que deben satisfacer los organismos
certificadores, que posteriormente son quienes otorgan el sello ISO 27006 a las
instituciones y empresas que solicitan el proceso de certificación.
Aplicación
Evaluación y tratamiento del riesgo: Indicaciones sobre como evaluar y tratar los riesgos
de seguridad de la información.
Seguridad ligada a los recursos humanos: Antes del empleo; durante el empleo; cese del
empleo o cambio de puesto de trabajo.