Auditar un Sistema de Gestión de Seguridad de la Información (SGSI) implica evaluar de manera continua procesos y controles implementados en las organizaciones para gestionar los riesgos de seguridad de la información.
De esta manera, una auditoría de SGSI puede realizarse según una variedad de criterios de auditoría, los cuales, por separados o en combinación, pueden incluir la revisión de los siguientes aspectos:
– Requisitos definidos en ISO/IEC 27001
– Políticas y requisitos especificados por las partes interesadas relevantes
– Requisitos legales y regulatorios
– Procesos y controles del SGSI definidos por la organización u otras partes
– Planes del sistema de gestión relacionados con la provisión de productos específicos de un SGSI
