CSC Ciberseguridad CompuretoAuditoría · SGSI · Tecnología
Implementación · Auditoría · Evidencia

Metodología CSC para SGSI e ISO/IEC 27001

Un enfoque práctico para pasar de la intención a la evidencia: contexto, activos, riesgos, controles, auditoría y mejora continua.

Principios de trabajo

  • Enfoque basado en riesgos y procesos.
  • Ciclo PHVA/PDCA para mejora continua.
  • Documentación suficiente, útil y verificable.
  • Auditoría basada en evidencia objetiva.
  • Alineación con ISO/IEC 27001:2022, controles ISO/IEC 27002:2022 y MSPI MinTIC.

Resultado esperado

La organización obtiene una ruta clara para implementar, auditar o fortalecer su SGSI con evidencias trazables: alcance, matriz de riesgos, declaración de aplicabilidad, políticas, procedimientos, indicadores, plan de tratamiento y plan de mejora.

Solicitar acompañamiento

Fases metodológicas

1

Contexto, alcance y partes interesadas

Objetivo: Delimitar el SGSI y comprender procesos, servicios, sedes, activos y partes interesadas.

Actividades: Entrevistas iniciales; revisión de misión, procesos y servicios; análisis de contexto; identificación de partes interesadas; definición o validación del alcance.

Evidencia esperada: Alcance documentado del SGSI; matriz de partes interesadas; mapa de procesos; actas o registros de entrevistas.

2

Inventario de activos y clasificación de información

Objetivo: Identificar activos de información y activos asociados para evaluar exposición y criticidad.

Actividades: Levantamiento de activos; propietarios; ubicación; criticidad; clasificación; revisión de repositorios físicos y digitales.

Evidencia esperada: Inventario de activos; esquema de clasificación; evidencias de etiquetado; responsables asignados.

3

Evaluación y tratamiento de riesgos

Objetivo: Determinar riesgos de confidencialidad, integridad y disponibilidad y priorizar tratamiento.

Actividades: Identificación de amenazas y vulnerabilidades; valoración inherente/residual; definición de controles; aprobación de aceptación o tratamiento.

Evidencia esperada: Matriz de riesgos; criterios de valoración; plan de tratamiento; aprobación de responsables.

4

Declaración de aplicabilidad

Objetivo: Evaluar los 93 controles del Anexo A y justificar inclusión, exclusión e implementación.

Actividades: Revisión control por control; registro de aplicabilidad; documentación de estado; análisis de brechas; evidencia por control.

Evidencia esperada: Declaración de aplicabilidad; trazabilidad de controles; justificaciones; evidencias asociadas.

5

Auditoría interna y verificación de evidencias

Objetivo: Comprobar conformidad del SGSI con ISO/IEC 27001:2022, políticas internas y requisitos aplicables.

Actividades: Programa de auditoría; plan de auditoría; entrevistas; muestreo documental; verificación de controles; redacción de hallazgos.

Evidencia esperada: Plan de auditoría; listas de verificación; evidencias; hallazgos; informe de auditoría interna.

6

Mejora continua y preparación para certificación

Objetivo: Cerrar brechas, fortalecer controles y preparar a la organización para auditoría externa.

Actividades: Plan de acciones correctivas; seguimiento; revisión por la dirección; indicadores; simulacro de auditoría.

Evidencia esperada: Plan de mejora; actas de revisión por la dirección; indicadores; cierre de acciones; informe ejecutivo.