Preparación para la auditoría de certificación ISO 27001
La auditoría de certificación ISO 27001 es el hito más importante en el proceso de implementación del SGSI. Después de meses de trabajo preparando políticas, controles y evidencias, llega el momento en que un organismo de certificación acreditado evalúa si tu sistema cumple con los requisitos de la norma.
Esta guía explica cómo funciona el proceso de certificación, qué buscan los auditores en cada etapa y cómo preparar a tu organización para obtener la certificación sin sorpresas. Complementa con nuestra guía de auditoría interna ISO 27001 y el cronograma de implementación.
El proceso de certificación: visión general
La certificación ISO 27001 es otorgada por organismos de certificación acreditados (Bureau Veritas, SGS, TÜV, AENOR, BSI, entre otros). El proceso consta de dos etapas formales de auditoría más actividades de seguimiento posteriores.
| Etapa | Nombre | Duración típica | Objetivo principal |
|---|---|---|---|
| Etapa 1 | Revisión documental | 1–2 días | Verificar que la documentación del SGSI existe y es adecuada |
| Etapa 2 | Auditoría de certificación | 2–5 días | Verificar que el SGSI está implementado y es efectivo |
| Seguimiento | Auditorías de vigilancia | 1–2 días/año | Verificar el mantenimiento del SGSI |
| Recertificación | Renovación del certificado | 2–3 días (año 3) | Re-evaluar el SGSI completo |
Etapa 1: Revisión documental
La Etapa 1 es esencialmente una revisión del sistema documental de tu SGSI. El auditor evalúa si has desarrollado la documentación requerida por la norma y si esta es coherente con el alcance declarado.
Documentos obligatorios que revisa el auditor en Etapa 1
- Declaración del alcance del SGSI (cláusula 4.3): límites físicos, organizacionales y tecnológicos claramente definidos
- Política de seguridad de la información (cláusula 5.2): firmada por la alta dirección, publicada y comunicada
- Evaluación y tratamiento de riesgos (cláusulas 6.1, 8.2, 8.3): metodología documentada, registro de riesgos con valoraciones
- Declaración de Aplicabilidad (SoA) (cláusula 6.1.3d): todos los controles del Anexo A con justificación de inclusión/exclusión
- Plan de tratamiento de riesgos (cláusula 6.1.3e): acciones concretas, responsables, plazos
- Objetivos de seguridad (cláusula 6.2): medibles, con responsables asignados
- Inventario de activos (control A.5.9): activos identificados con propietario y clasificación
- Programa de auditoría interna (cláusula 9.2): planificado y con al menos un ciclo completado
- Registros de revisión por la dirección (cláusula 9.3): al menos una revisión documentada
Etapa 2: Auditoría de certificación
La Etapa 2 es la auditoría de certificación propiamente dicha. El auditor verifica que los controles y procesos documentados están efectivamente implementados y son eficaces. Ya no basta con tener el documento — necesitas evidencia de que funciona.
Qué buscan los auditores en la Etapa 2
| Área | Qué verifica el auditor | Evidencia típica |
|---|---|---|
| Liderazgo (cláusula 5) | Compromiso real de la alta dirección | Actas de reunión, comunicaciones firmadas, presupuesto asignado |
| Gestión de riesgos (cláusula 6) | El proceso de riesgos se ejecuta regularmente | Registros de evaluaciones, historial de versiones |
| Capacitación (cláusula 7.2) | El personal conoce sus responsabilidades de seguridad | Registros de asistencia, evaluaciones, entrevistas al personal |
| Controles técnicos (Anexo A) | Los controles seleccionados están activos | Logs de sistema, configuraciones, capturas de pantalla |
| Gestión de incidentes | Existe un proceso funcional de gestión de incidentes | Registro de incidentes, análisis post-incidente |
| Auditoría interna (9.2) | Se completó un ciclo completo de auditoría interna | Plan de auditoría, informes, hallazgos, acciones correctivas |
Checklist de preparación para la auditoría de certificación
Documentación (4–6 semanas antes)
- Alcance del SGSI aprobado por la alta dirección y sin ambigüedades
- Política de seguridad firmada, fechada y comunicada a todo el personal
- Evaluación de riesgos completada con valoraciones documentadas
- SoA actualizada con justificación para todos los controles excluidos
- Plan de tratamiento de riesgos con evidencias de implementación
- Inventario de activos actualizado con propietarios asignados
Implementación operativa (2–4 semanas antes)
- Auditoría interna completada con informe y hallazgos documentados
- Acciones correctivas de la auditoría interna implementadas y verificadas
- Revisión por la dirección realizada con los inputs requeridos por la cláusula 9.3
- Registro de incidentes activo (aunque sea vacío, el registro debe existir)
- Programa de capacitación ejecutado con registros de asistencia
No conformidades frecuentes en auditorías de certificación
| No conformidad frecuente | Cláusula/Control | Cómo prevenirla |
|---|---|---|
| Alcance ambiguo o inconsistente con la realidad | 4.3 | Revisarlo con alguien externo antes de la auditoría |
| SoA con exclusiones sin justificación documentada | 6.1.3d | Revisar cada exclusión y documentar la razón de negocio |
| Riesgos no revisados en los últimos 12 meses | 8.2 | Establecer revisión periódica con recordatorio en calendario |
| Personal no sabe qué hacer en caso de incidente | A.5.24 | Realizar simulacro documentado antes de la auditoría |
| Controles técnicos declarados pero no verificables | Anexo A | Preparar evidencias técnicas (logs, configuraciones, reportes) |
Gestiona tu preparación para la certificación con GRC360
GRC360 te permite gestionar toda la documentación del SGSI, el registro de riesgos, la SoA, la auditoría interna y el seguimiento de acciones correctivas en una sola plataforma.
Comenzar GratisContinúa con nuestros artículos sobre no conformidades en ISO 27001, auditorías de seguimiento y recertificación y los costos de certificación en Chile.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis