Duración: 32 horas
OBJETIVO:
El Participante conocerá, practicará y aplicará las actividades de auditoría que debe realizar y controlar un auditor Líder, establecidas en la Norma ISO/IEC 27001:2013 Sistema de Gestión de la Seguridad de la información (SGSI) de acuerdo a la a ISO 19011:2018 y mejores prácticas.
DIRIGIDO:
- Gerentes de sistemas o Tecnologías en Información.
- Encargados de la Seguridad en información, del Sistema de Gestión de Seguridad de la Información.
- Auditores de T.I. y Consultores de la Seguridad en Información.
EL PARTICIPANTE AL FINALIZAR:
- Explicará los términos, conceptos, definiciones y directrices de la Gestión de la Seguridad de la Información.
- Explicará y ejecutará las funciones y responsabilidades del auditor.
- Aplicará a aplicar la norma ISO 19011 definiciones, conceptos y directrices.
- Reconocerá los principios, prácticas y los diferentes tipos de auditorías
- Llevará a cabo todas las fases de una auditoría, preparar y presentar reportes efectivos.
- Diseñará el plan de las auditorías.
- Explicará las funciones y responsabilidades de un auditor y auditor líder.
- Usará una comunicación eficaz durante la auditoría.
- Realizará las conclusiones de la auditoría.
- Realizará las reuniones de cierre.
REQUISITOS:
Para tomar este curso el participante deberá de cumplir con al menos uno de estos puntos:
- Tener amplio conocimiento de la Norma ISO/IEC 27001:2013.
- Haber tomado un curso de interpretación o introductorio de esta última.
Es recomendable que el participante haya participado en al menos una auditoria.
TEMARIO
Teoría 40 %
Práctica 60 % |
Tema 1: Fundamentos de Auditoria
- Clasificación de auditorías.
- Introducción a la auditoría.
- Nuevo enfoque de las auditorías: ¿documentos o resultados?
- Objetivos de una auditoría.
- Requisitos previos de una auditoría.
- Términos y definiciones de auditoría, de acuerdo a ISO 19011:2018
- Principios de Auditoría, de acuerdo a ISO 19011:2018
Tema 2: Competencia de los Auditores, de acuerdo a ISO 19011:2018
- Conocimientos y habilidades genéricos para auditor y auditor líder.
- Conocimientos y habilidades específicas para auditor líder.
- Conocimientos y habilidades específicas para auditores de Sistemas de Gestión de Seguridad de la Información.
- Capítulos Normativos del Sistema de Gestión de Seguridad de la Información
- Anexo A – Controles de Seguridad de la Información
- Cualidades personales.
- Escolaridad y Experiencia laboral en la práctica de auditorías.
- Entrenamiento como auditor.
- Mantenimiento y mejora de la competencia como auditor.
- Proceso para la evaluación/calificación de los auditores.
Tema 3: Proceso de Auditoria, de acuerdo a ISO 19011:2018
- Gestión del programa de auditoría.
- Definir autoridad y responsabilidad.
- Establecer e implementar el programa de auditoría.
- Monitorear y revisar el programa de auditoría.
- Mejora del programa de auditoría.
- Preparación de las actividades de auditoría en sitio.
- Realizar una auditoría:
- Inicio de la auditoría
- Revisar la documentación.
- Uso de la Lista de Verificación de Auditoría, partiendo de los procesos del SGSI de la organización.
- Realización de las actividades de auditoría en sitio.
- Preparación, aprobación y distribución del informe de auditoría.
- Finalización de la auditoría.
- Realización de las actividades de seguimiento de la auditoría.
Tema 4: Elementos que debe conocer un Auditor Líder.
- Objetivos de una auditoría
- Tipos de auditoría.
- Métodos y criterios de auditoría.
- Auditoría basada en riesgos.
- Autoridad y responsabilidad para la auditoría.
- Tipos de pruebas, evidencias y muestreo.
- Elementos para realizar entrevistas y observación del personal durante el ejercicio de sus funciones.
- Técnicas de auditoría asistida por computadora.
- Juicio y tipos de hallazgos.
- Manejo de tiempos, comunicación y control de la auditoría.
Tema 5: Caso práctico detallado: Realizar una Auditoría.
- Preparar las actividades de auditoría en sitio.
- Elaborar el programa de auditoría.
- Seleccionar al grupo auditor.
- Elaborar el plan de auditoría.
- Elaborar la notificación de auditoría.
- Elaborar la lista de Verificación de Auditoría, partiendo de los procesos y controles del SGSI de la organización y otros documentos para la auditoría.
- Asignar responsabilidades y tareas al grupo auditor.
- Comunicación del grupo auditor previa a la auditoría.
- Reunión de apertura.
- Realización de la auditoría.
- Realización de entrevistas.
- Revisión de documentación y evidencias.
- Recorrido por las instalaciones.
- Revisión de sistemas, aplicaciones y otros activos.
- Uso y llenado de la lista de verificación de auditoría.
- Comunicación de hallazgos detectados durante la auditoría.
- Revisión de hallazgos previos.
- Comunicación del grupo auditor durante la auditoría.
- Elaborar el reporte de auditoría.
- Registro de hallazgos.
- Registro de conclusiones y áreas de mejora.
- Reunión de cierre y retroalimentación al personal auditado.
- Manejo de controversias del personal auditado y/o grupo auditor.
- Realización de las actividades de seguimiento de la auditoría.
- Comunicación y retroalimentación al grupo auditor finalizada la auditoría.