Servicios de Asesoría y Capacitación Empresarial, S. C.

   

English

   

   

Français

   

   

Deutsch

OBJETIVO DEL CURSO.

Proporcionar un sólido y profundo conocimiento y orientación sobre los requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión de la seguridad conforme a la Norma Internacional ISO/IEC 27006-1:2024 - Seguridad de la información, ciberseguridad y protección de la privacidad - Requisitos para organismos que realizan auditorías y certificación de sistemas de gestión de la seguridad de la información - Parte 1: Generalidades.

Nota 1: la Norma Internacional ISO/IEC 27006-1:2024 requiere conocimientos previos de:

1. ISO/IEC 17021-1:2015 Evaluación de la conformidad - Requisitos para organismos que realizan auditoría y certificación de sistemas de gestión - Parte 1: Requisitos y
   
   
2. La familia de Normas Internacionales ISO/IEC 27001.

Nota 2: la Norma Internacional ISO/IEC 27006-1:2024 sigue la estructura de la Norma Internacional ISO/IEC 17021-1:2015.

Nota 3: El curso de la Norma Internacional ISO/IEC 27006-1:2024 ha sustituido al curso de la Norma Internacional ISO/IEC 27006:2015.

DURACIÓN DEL CURSO: 24 horas.

TEMARIO DEL CURSO.

El temario del curso es el siguiente:

1. Introducción.
   

1. Objeto y campo de aplicación.
   
   
2. Referencias normativas.
   
   
3. Términos y definiciones.
   
   
4. Principios.
   
   
5. Requisitos generales.
   1. Aspectos legales y contractuales.
   2. Gestión de la imparcialidad.
      1. Generalidades.
      2. Conflictos de interés.
   3. Responsabilidad legal y financiamiento.
      
      
6. Requisitos relativos a la estructura.
   
   
7. Requisitos de recursos.
   1. Competencia del personal.
      1. Generalidades.
      2. Requisitos de competencia genéricas.
      3. Determinación de criterios de competencia.
         1. Requisitos de competencia para la auditoría de sistemas de gestión de la seguridad de la información.
            1. Requisitos generales.
            2. Terminología, principios, prácticas y técnicas de gestión de la seguridad de la información.
            3. Normas y documentos normativos de sistemas de gestión de la seguridad de la información.
            4. Prácticas de gestión de negocios.
            5. Sector del negocio del cliente.
            6. Productos, procesos y organización del cliente.
         2. Requisitos de competencia para llevar a cabo la revisión de la solicitud.
            1. Sector del negocio del cliente.
            2. Productos, procesos y organización del cliente.
         3. Requisitos de competencia para revisar los informes de auditoría y tomar decisiones sobre certificación.
            1. Generalidades.
            2. Terminología, principios, prácticas y técnicas de gestión de la seguridad de la información.
            3. Normas y documentos normativos de sistemas de gestión de la seguridad de la información.
            4. Sector del negocio del cliente.
            5. Productos, procesos y organización del cliente.
               
               
   2. Personal que participa en las actividades de certificación.
      1. Generalidades.
      2. Demostración del conocimiento y experiencia del auditor.
         1. Consideraciones generales.
         2. Selección de auditores.
         3. Selección de auditores para dirigir al equipo de auditores.
   3. Uso de auditores y expertos técnicos externos individuales.
   4. Registros del personal.
   5. Subcontratación.
      
      
8. Requisitos de información.
   1. Información pública.
   2. Documentos de certificación.
      1. Generalidades.
      2. Documentos de certificación del sistema de gestión de seguridad de la información.
      3. Referencia de otras normas en los documentos de certificación del sistema de gestión de la seguridad de la información.
   3. Referencia a la certificación y uso de marcas.
   4. Confidencialidad.
      1. Generalidades.
      2. Acceso a los registros de la organización.
   5. Intercambio de información entre el organismo de certificación y sus clientes.
      
      
9. Requisitos del proceso.
   1. Actividades previas a la certificación.
      1. Solicitud.
         1. Generalidades.
         2. Consideraciones para los procedimientos de certificación.
      2. Revisión de la solicitud.
      3. Programa de auditoría.
         1. Generalidades.
         2. Consideraciones generales.
         3. Implementación de la auditoría remota.
         4. Preparativos generales para el inicio de la auditoría.
         5. Periodos de revisión.
         6. Alcance de la certificación.
      4. Determinación del tiempo de auditoría.
         1. Generalidades.
         2. Tiempo de auditoría.
      5. Muestreo en sitios múltiples.
         1. Generalidades.
         2. Sitios múltiples.
      6. Sistemas de gestión múltiples.
         1. Generalidades.
         2. Integración de la documentación de un sistema de gestión de la seguridad de la información con otros sistemas de gestión.
         3. Auditorías combinadas de sistemas de gestión.
            
            
   2. Planificación de las auditorías.
      1. Determinación de los objetivos, alcance y criterios de auditoría.
         1. Generalidades.
         2. Objetivos de auditoría.
         3. Criterios de auditoría.
      2. Selección y asignaciones del equipo de auditoría.
         1. Generalidades.
      3. Plan de auditoría.
         1. Generalidades.
         2. Consideraciones generales.
         3. Técnicas de auditoría remotas.
            
            
   3. Certificación inicial.
      1. Generalidades.
      2. Auditoría inicial de certificación.
         1. Etapa 1.
         2. Etapa 2.
            
            
   4. Realización de las auditorías.
      1. Generalidades.
      2. Elementos específicos de la auditoría del sistema de gestión de la seguridad de la información.
      3. Informe de auditoría.
         
         
   5. Decisión de certificación.
      1. Generalidades.
      2. Decisión de certificación.
         
         
   6. Mantenimiento de la certificación.
      1. Generalidades.
      2. Actividades de vigilancia
      3. Recertificación.
         1. Generalidades.
         2. Auditorías de recertificación.
      4. Auditorías especiales.
      5. Suspensión, retiro o reducción del alcance de la certificación.
         
         
   7. Apelaciones.
      
      
   8. Quejas.
      1. Generalidades.
      2. Quejas.
         
         
   9. Registros del cliente.
      
      
10. Requisitos del sistema de gestión para organismos de certificación.
    1. Opciones.
       1. Generalidades.
       2. Implementación del sistema de gestión de la seguridad de la información.
    2. Opción A: Requisitos del sistema de gestión general.
    3. Opción B: Requisitos del sistema de acuerdo con ISO 9001.
       
       
11. Anexo A Conocimientos y habilidades para la auditoría y certificación de sistemas de gestión de la seguridad de la información.
    1. Visión general.
       
       
12. Anexo B Consideraciones de competencia adicionales.
    1. Consideraciones generales de competencia.
    2. Consideraciones de conocimientos y habilidades específicos.
       1. Conocimiento típico relacionado con sistemas de gestión de la seguridad de la información.
          
          
13. Anexo C Tiempo de auditoría.
    1. Generalidades.
    2. Conceptos.
       1. Número de personas que hacen trabajo bajo el control de la organización.
       2. Día auditor.
       3. Sitio temporal.
    3. Procedimiento para determinar el tiempo de auditoría para la auditoría inicial.
       1. Generalidades.
       2. Métodos remotos para realizar la auditoría.
       3. Cálculo del tiempo de auditoría.
       4. Determinación del número inicial de personas.
       5. Factores para el ajuste del tiempo de auditoría.
       6. Limitación de desviación del tiempo de auditoría.
       7. Tiempo de auditoría en sitio.
    4. Tiempo de auditoría para las auditorías de vigilancia.
    5. Tiempo de auditoría para la auditoría de recertificación.
    6. Tiempo de auditoría para sitios múltiples.
    7. Tiempo de auditoría para extensiones del alcance.
       
       
14. Anexo D Métodos para los cálculos del tiempo de auditoría.
    1. Generalidades.
    2. Clasificación de factores para el cálculo del tiempo de auditoría.
    3. Ejemplo para el cálculo del tiempo de auditoría.
       
       
15. Anexo E Orientación para la revisión de la implementación de ISO/IEC 27001:2022, Anexo A controles.
    1. Propósito.
       1. Evidencia de auditoría.
    2. Cómo utilizar la Tabla E.1.
       1. Generalidades.
       2. Columna "Pruebas del sistema.
       3. Columna "Inspección visual".
       4. Posible evidencia de diseño e implementación de controles.
          
          
16. Taller de ejercicios de interpretación y aplicación de la Norma Internacional ISO/IEC 27006-1:2024.

Regresar a los cursos de sistemas de gestión de la seguridad de la información.

Regresar a los cursos de sistemas de gestión.

Regresar al curso de la Norma Internacional ISO/IEC 17021-1:2015 ISO/IEC 17021-1:2015 Evaluación de la conformidad - Requisitos para organismos que realizan auditoría y certificación de sistemas de gestión - Parte 1: Requisitos