¿Qué es la norma ISO27001?
La norma ISO 27001 es un estándar internacional que se utiliza para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Esta norma proporciona un marco de referencia para la gestión de la seguridad de la información en una organización y se basa en un enfoque de riesgos que permite a las organizaciones determinar y gestionar los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de sus información y sistemas de información.
Curso auditor interno ISO27001
Categoría de la certificación
Categoría principal:
Estándares ISO
Categoría:
Sistema de Gestión de Seguridad de la Información (ISO 27001:2022)
Subcategoría:
Auditoría Interna
El propósito de la Certificación de ISO 27001 – Auditor Interno es demostrar que el profesional tiene una comprensión práctica de la terminología, estructura, y consideraciones para la definición, implementación, seguimiento y auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI); siguiendo los lineamientos de la norma ISO 27001:2022 (seguridad de la información) y la norma ISO 19011:2018 (auditoría).
Certificación ISO27001 para personas
En el mercado existen dos tipos de certificación ISO27001, una para certificar a las empresas que demuestra que la empresa ha establecido y mantenido un SGSI de acuerdo con los requisitos de la norma ISO 27001 y otra para certificar a personas (individuos). Esta última es la certificación que ofrece ATI Academia, así que como profesional usted podrá certificarse como auditor interno en ISO27001.
Auditor interno ISO27001
Recibe toda la información y detalles del curso ahora mismo.
¡Quiero certificarme!Requisitos para certificarse como auditor interno ISO27001
Prerrequisitos:
• Ser mayor de edad en tu país de residencia.
• Tener conocimientos básicos de lectura, escritura y aritmética básica: suma, resta, multiplicación y división.
• Lectura y aceptación del Código de ética disponible en la plataforma digital antes de la presentación del examen de certificación.
Código de ética:
Todos los profesionales certificados deben conocer, aceptar y acogerse al código de ética que está disponible para su consulta en la plataforma digital.
Recomendaciones:
Es altamente recomendable que el profesional complete la capacitación formal de ISO 27001:2022 ofrecida por ATI Academia y que únicamente no rinda el examen por su cuenta.
Estructura del curso
A continuación presentamos la estructura del curso, temario, tipo de evaluación, proceso de certificación, dificultad y proceso de renovación de la certificación ISO27001.
Temario Curso ISO27001
| Módulo | Descripción del trabajo | Competencias requeridas |
|---|---|---|
|
1. Introducción |
Identificar y dominar los
conceptos básicos y el contexto
de la organización, su importancia
y aspectos generales para el
desarrollo de un SGSI |
• Historia, contextualización y estructura
de las normas ISO • Estructura de la familia ISO 27000 • Esquema y proceso de certificación • Conceptos básicos • Objeto y campo de aplicación |
|
2. Contexto
de la
organización |
Planificar y ejecutar las
actividades de seguimiento y
revisión para identificar el
contexto de la organización. |
• Comprensión de la organización y su
contexto. • Comprensión de las necesidades y expectativas de las partes interesadas. • Determinación del alcance del SGSI. • Sistema de gestión de seguridad de la información. |
|
3. Liderazgo |
Comprender y determinar si
existe liderazgo dentro de la
organización para crear un
entorno de compromiso frente al
SGSI y definir la política de
seguridad de la información. |
• Liderazgo y compromiso frente a la
definición del SGSI. • Política para la seguridad de la información. • Roles, responsabilidades y autoridades de la organización frente a la definición del SGSI. |
|
4.
Planificación |
Definir y evaluar los riesgos
asociados al SGSI, y evaluar los
objetivos de seguridad de la
información con sus respectivos
planes para alcanzarlos. |
• Acciones para abordar los riesgos y las
oportunidades. • Definición de objetivos de la seguridad de la información. • Planificación de los cambios. |
|
5. Apoyo
/Soporte |
Identificar los recursos necesarios
para la definición e
implementación de un Sistema de
Gestión de Seguridad de la
Información. |
• Recursos • Competencia • Toma de conciencia • Comunicación • Información documentada |
|
6. Operación |
Realizar la evaluación,
planificación, implementación y
control de todos los procesos
involucrados en el logro de los
objetivos del SGSI |
Planificación y control de la
operación. • Evaluación de riesgos de la seguridad de la información. • Tratamiento de riesgos de la seguridad de la información. |
|
7. Evaluación
del
desempeño |
Identificar y evaluar las acciones
que contribuyan a la mejora
continua del SGSI. |
• Seguimiento, medición, análisis
y evaluación del SGSI. • Auditoría interna • Revisión por la alta dirección |
|
8. Mejora |
Identificar y evaluar las acciones
que contribuyan a la mejora
continua del SGSI |
• La Mejora continua • Las No conformidades y acciones correctivas. |
|
Anexo A |
Identificar y entender los objetivos
de control y controles enumerados
en el Anexo A |
• A.5 Controles organizacionales • A.6 Controles de personas • A.7 Controles físicos • A.8 Controles tecnológicos |
|
9. Directrices
para la auditoría.
(Siguiendo los
lineamientos de
la norma ISO
19011 norma,
para llevar a
cabo la auditoría
de un sistema de
gestión) |
• Definir, implementar, revisar y mejorar el programa y plan de auditoría. • Clasificar y elaborar los reportes de hallazgos de la auditoría. • Elaborar el informe final de auditoría. • Determinar y evaluar las competencias requeridas por un auditor. |
Gestión de un programa de auditoría Entender claramente las consideraciones y los lineamientos de la norma para llevar a cabo la auditoría. Realizar la auditoría Comprende las fases para la realización de una auditoría interna. Competencia y evaluación de un auditor Comprender la importancia de evaluar y mantener la competencia del auditor. |
Evaluación de las competencias
Realizamos dos tipos de evaluación para garantizar que el profesional cuenta con las competencias requeridas:
1. Preguntas de opción múltiple con única respuesta: esta modalidad de evaluación consiste en preguntas teóricas de opción múltiple única respuesta que buscan medir el grado en el que el profesional ha comprendido los conceptos teóricos de la certificación.
2. Caso de estudio: su estructura es similar a la que tienen las preguntas de las que se habló en el numeral anterior, la diferencia radica en que, en lugar de preguntar por un concepto particular, se presenta la descripción de una situación que tiene lugar en el contexto real y que debe ser analizada por el profesional de tal manera que pueda en primer lugar identificar el problema y posteriormente evaluar cuál de las opciones presentadas refleja la mejor solución a dicha situación problema.
| Competencia | Preguntas | Caso de estudio |
|---|---|---|
|
Dominar los conceptos básicos y el contexto de la norma ISO
27001:2022. |
X |
|
|
Entender la importancia de comprender el contexto de la
organización antes de poner en marcha una iniciativa de definición
del SGSI. |
X |
X |
|
Comprender la importancia del liderazgo y el involucramiento de la
alta dirección de la organización, para crear un entorno de
compromiso frente a la definición del SGSI . |
X |
|
|
Comprender las consideraciones para llevar a cabo la planificación
de la gestión de riesgos y de los objetivos del SGSI. |
X |
|
|
Comprender las consideraciones para llevar a cabo la planificación
de la gestión de riesgos y de los objetivos del SGSI. |
X |
X |
|
Comprender la importancia de implementar y controlar los planes
definidos para lograr los objetivos de seguridad de la información. |
X |
X |
|
Comprender cómo evaluar el desempeño de la seguridad de la
información y la efectividad del SGSI, mediante la auditoría interna
y la revisión de la alta dirección. |
X |
|
|
Comprender la responsabilidad de la organización frente al
mejoramiento continuo de la seguridad de la información, a partir
de los hallazgos de auditoría, el seguimiento y la revisión por la alta
dirección. |
X |
|
|
Entender claramente las consideraciones y los lineamientos de la
norma para llevar a cabo la auditoría. |
X |
X |
|
Comprende las fases para la realización de una auditoría interna. |
X |
X |
|
Comprender la importancia de evaluar y mantener la competencia
del auditor. |
X |
X |
|
Identificar y entender los objetivos de control y controles
enumerados en el Anexo A. |
X |
|
¿Quién debería tomar este examen?
Este examen es ideal para personas o equipos interesados en auditoría interna de seguridad de la información según la norma ISO 27001, o relacionados con un Sistema de Gestión de Seguridad de la Información (SGSI).
Roles como: Oficiales de seguridad de la información, administradores de redes, ingenieros de soporte, auditores, analistas de riesgos en sistemas de información.
Proceso de certificación
El siguiente gráfico, presenta el ciclo de vida general para la obtención de una certificación:
A continuación, se describe cada una de las fases para la obtención de la certificación por primera vez, las fases posteriores a la obtención del certificado (recuadros de borde rojo) serán explicadas más adelante.
1. Solicitud de certificación: el solicitante remite su solicitud de certificación, en la plataforma QuizLab o a través de la empresa aliada (donde el solicitante haya tomado su capacitación). Una vez aprobada la solicitud se procede a la creación del perfil del solicitante en CertMind.
2. Soporte documental: el solicitante debe adjuntar en la plataforma digital su documento de identidad y adicionalmente completar el registro de su hoja de vida.
3. Verificación y aceptación: La plataforma digital verifica el cumplimiento de los prerrequisitos del solicitante, una vez verificados es aceptada la solicitud el postulante y se convierte en candidato para el proceso de certificación.
4. Programación: se procede a realizar la convocatoria para la presentación del examen, directamente en la plataforma digital o a través del soporte de ATI Academia.
El formato del examen se explica a continuación:
- Tipo: Examen en línea de 40 preguntas, opción múltiple y única respuesta.
- Duración: 60 minutos.
- Nota mínima para aprobar: 28/40 (70%).
- Tiempo adicional: Si el profesional no presenta el examen en su idioma nativo, contará con 15 minutos adicionales y además se le permite utilizar un diccionario.
- Supervisión: Se realiza un monitoreo de los exámenes asegurando que se realizan de manera correcta y transparente a través de Invigilator Program (también conocido como “Proctor”).
- Libro abierto: No.
- Modalidad: Disponible únicamente en línea en la plataforma digital.
- Vigencia: 5 años.
- Otros: Se requiere a todos los postulantes la lectura y aceptación del código de ética de la compañía y términos y condiciones.
5. Obtener el certificado:
Una vez aprobado en examen y aceptado el contrato de términos y condiciones se hace entrega de la certificación.
Niveles de dificultad: Taxonomía de Bloom
La Taxonomía de Bloom es una teoría conocida en el sector educativo porque muchos docentes la consideran idónea para evaluar el nivel cognitivo adquirido en una asignatura. El objetivo de esta teoría es que después de realizar un proceso de aprendizaje, el aprendiente adquiera nuevas habilidades y conocimientos. La siguiente tabla presenta una descripción de las categorías de la taxonomía de Bloom presentes en el examen de certificación, así como el porcentaje de cada tipo de pregunta dentro del examen.
| Módulo | Nivel 1 | Nivel 2 | Nivel 3 |
|---|---|---|---|
|
Descripción |
Conocimiento. Este
puede comprender,
recordar una amplia
gama de elementos,
desde datos
específicos, hasta
teoría completa. Pero
todo lo que se
necesita es traer a la
mente la información
apropiada. |
Compresión. Esto se
puede demostrar
pasando o
traduciendo, material
de una forma a otra
(palabras a números),
interpretar el material
(explicar o resumir), y
estimando tendencias
futuras (prediciendo
consecuencias o
efectos). |
Aplicación. Hace
referencia a la
habilidad o capacidad
de utilizar el material
aprendido en
situaciones concretas,
nuevas. |
|
Porcentaje de
preguntas presente
en el examen |
50% |
30% |
20% |
Renovación, vigilancia y retiro de la certificación
Esta fase se da luego de que el profesional ha obtenido su certificación. La renovación hace referencia a la reexpedición de la certificación una vez la vigencia de la misma ha llegado a su fin. La vigilancia se refiere a la supervisión que se realiza CertMind al desempeño que realiza el profesional durante el período transcurrido entre la certificación y la recertificación para asegurar el cumplimiento de lo estipulado en el presente esquema de certificación. A continuación, se describen las actividades que debe realizar el profesional certificado con el objetivo de obtener su recertificación:
1. Solicitud de recertificación: antes de que la certificación pierda su vigencia, el profesional certificado remite su solicitud de recertificación, en la plataforma QuizLab. En caso de que la certificación pierda su vigencia, el profesional debe realizar el proceso de certificación nuevamente.
2. Registro de PUC’s: se requiere que el profesional certificado registre 30 PUC’s cada 5 años para la renovación de la certificación. El profesional certificado debe adjuntar los soportes que acreditan las PUC’s en la plataforma digital.
3. Validación de la documentación: la plataforma verifica el cumplimiento de las PUC’s del profesional certificado, una vez verificados es aceptada la solicitud de recertificación.
4. Obtención de la recertificación: una vez validados los documentos se hace entrega de la nueva certificación.
Criterios para la suspensión o retiro de la certificación
La certificación le será retirada al profesional en los siguientes casos:
1. El incumplimiento al código de ética.
2. No cumplir con los requisitos del esquema.
3. Resultados insatisfactorios del proceso de vigilancia.
4. Incapacidad para cumplir de forma continuada los requisitos de competencia del esquema.
Cambios al esquema
de certificación
El esquema de certificación ISO 27001 – Auditor Interno no contempla cambios en el alcance pues actualmente no aplican ampliaciones o reducciones en el alcance o nivel de la misma.