For Oc 059 - Sgsi

entidad mexicana de acreditación,
a.c.
LISTA DE EVALUACIÓN DE ORGANISMOS DE CERTIFICACIÓN
Nombre del OC:

Fecha: Referencia:
Nombre del Evaluador Líder:
Nombre del evaluador:
Nombre del experto:
REQUISITOS TÉCNICOS PARA SEGURIDAD DE LA INFORMACIÓN (ISO 27006)
ISO/IEC 17021- C NC N/A
1: 2015 Puntos de revisión Descripción de evidencia revisada.
ISO/IEC 27006:
2015
7 REQUISITOS RELATIVOS A LOS RECURSOS

7.1 Competencia del personal
7.1.1 Consideraciones generales
7.1.1 El organismo de certificación debe tener procesos
que le aseguren que el personal tiene el
conocimiento y las habilidades apropiadas
pertinentes a los tipos de sistemas de gestión (por
ejemplo, sistema de gestión ambiental, sistema de
gestión de la calidad, sistema de gestión de la
seguridad de la información) y las áreas geográficas
en las que opera.
7.1.1.1 Generic competence requirements
ISO/IEC The certification body shall ensure that it has knowledge of the
27006: 2015 technological, legal and regulatory developments relevant to the
ISMS of the client which it assesses.
The certification body shall define the competence requirements for
each certification function as referenced in Table A.1 of ISO/IEC
17021-1. The certification body shall take into account all the
requirements specified in ISO/IEC 17021-1 and 7.1.2 and 7.2.1 of
this International Standard that are relevant for the ISMS technical
areas as determined by the certification body.
7.1.2 Determinación de los criterios de competencia
7.1.2 El organismo de certificación debe disponer de un
proceso para determinar los criterios de competencia
de los miembros del personal involucrado en la
gestión y realización de las auditorías y otras
actividades de certificación. Los criterios de
competencia deben determinarse en función de los
requisitos de cada tipo de norma o especificación de
sistema de gestión, para cada área técnica y para
cada función en el proceso de certificación. El
resultado del proceso deben ser criterios
documentados respecto al conocimiento y las
habilidades requeridos, necesarios para el
desempeño eficaz de las tareas de auditoría y de
certificación, que se deben cumplir para lograr los
resultados previstos. El Anexo A especifica el
conocimiento y las habilidades que un organismo de
certificación debe definir para desempeñar funciones
específicas. Cuando se hayan establecido criterios
de competencia específicos adicionales para una
norma o un esquema de certificación específico (por
ejemplo, ISO/IEC/TS 17021-2, ISO/IEC/TS 17021-3
o ISO/TS 22003), estos criterios deben aplicarse.
NOTA El término “área técnica” se aplica de manera
diferente dependiendo de la norma de sistema de gestión
en consideración. Para cualquier sistema de gestión, el
término se relaciona con productos, procesos y servicios en
C: cumple, NC: No cumple, N/A: No aplica Página 1 de 40 FOR-OC-059-00

a.c.
ISO/IEC 27006:
2015
el contexto del alcance de la norma de sistema de gestión.

El área técnica se pueden definir mediante un esquema de
certificación específico (por ejemplo, ISO/TS 22003); o lo
puede determinar el organismo de certificación. Se usa para
abarcar otros términos tales como “alcances”, “categorías”,
“sectores”, etc., que se usan tradicionalmente en diferentes
disciplinas de sistemas de gestión.
7.1.2.1 Competence requirements for ISMS auditing
ISO/IEC
27006: 2015
7.1.2.1.1 General requirements
The certification body shall have criteria for verifying the
background experience, specific training or briefing of audit team
members
7.1.2.1.2 Information security management terminology, principles,
practices and techniques
7.1.2.1.3 Information security management system standards and
normative documents
7.1.2.1.4 Business management practices
7.1.2.1.5 Client business sector
7.1.2.1.6 Client products, processes and organization
7.1.2.2 Competence requirements for leading the ISMS audit
ISO/IEC team
27006: 2015
7.1.2.3 Competence requirements for conducting the
ISO/IEC application review
27006: 2015
normative documents
7.1.2.4 Competence requirements for reviewing audit
reports and making certification decisions
7.1.2.4.1 General
7.1.2.4.2 Information security management terminology, principles,
practices and techniques
normative documents
7.1.3 Procesos de evaluación
7.1.3 El organismo de certificación debe disponer de
procesos documentados para la evaluación inicial de
las competencias, y para el seguimiento continuo de
la competencia y el desempeño de todo el personal
involucrado en la gestión y realización de las
auditorías y otras actividades de certificación,
aplicando los criterios de competencia determinados.
El organismo de certificación debe demostrar que
sus métodos de evaluación son eficaces. El resultado
de estos procesos debe ser la identificación del
personal que haya demostrado el nivel de
competencia requerido para las diferentes funciones
del proceso de auditoría y de certificación. La
competencia se debe demostrar antes de que la
persona asuma la responsabilidad por el desempeño
de sus actividades dentro del organismo de
certificación.

a.c.
ISO/IEC 27006:
2015
NOTA 1 En el Anexo B se describen varios métodos de

evaluación que pueden emplearse para evaluar la
competencia.
NOTA 2 En el Anexo C se presenta un ejemplo de un flujo
de proceso para determinar y mantener la competencia
7.1.4 Otras consideraciones
7.1.4 El organismo de certificación debe tener acceso a los
expertos técnicos necesarios que le asesoren en
asuntos directamente relacionados con las
actividades de certificación para todas las áreas
técnicas, tipos de sistemas de gestión y áreas
geográficas en las que opera el organismo de
certificación. Dicha asesoría puede recibirse
externamente o por parte del personal del organismo
de certificación.
7.2 Personal involucrado en las actividades de certificación
7.2.1 El organismo de certificación debe contar con
personal competente suficiente para gestionar y
apoyar el tipo y la gama de programas de auditoría y
otros trabajos de certificación efectuados.
7.2.1 Demonstration of auditor knowledge and experience
ISO/IEC
27006:
2015
7.2.1.1 Selecting auditors
7.2.1.2 Selecting auditors for leading the team
7.2.2 El organismo de certificación debe emplear, o tener
acceso a un número suficiente de auditores, incluidos
líderes del equipo auditor, y a expertos técnicos para
cubrir la totalidad de sus actividades y gestionar el
volumen de trabajo de auditoría efectuado.
7.2.3 El organismo de certificación debe explicar
claramente a cada persona involucrada cuáles son
sus deberes, responsabilidades y autoridad.
7.2.4 El organismo de certificación debe tener procesos
definidos para seleccionar, formar, autorizar
formalmente y seleccionar a los auditores y para
seleccionar y familiarizar a los expertos técnicos que
se emplean en la actividad de certificación. La
evaluación inicial de las competencias de un auditor
debe incluir la capacidad para aplicar el conocimiento
y las habilidades requeridas durante las auditorías,
determinadas por un evaluador competente que
observe al auditor en la realización de una auditoría.
NOTA Durante el proceso de selección y formación descrito
anteriormente, se pueden tener en cuenta los
comportamientos personales deseados. Éstas son
características que influyen en la capacidad de una persona
para realizar funciones específicas. Por tanto, el hecho de
conocer los comportamientos de las personas permite a un
organismo de certificación aprovechar sus fortalezas y
reducir al mínimo el impacto de sus debilidades.
En el Anexo D se describen los comportamientos
personales deseados que son importantes para el
personal involucrado en las actividades de
certificación.

a.c.
ISO/IEC 27006:
2015
7.2.5 El organismo de certificación debe tener un proceso

para lograr y demostrar que lleva a cabo auditorías
de forma eficaz, incluyendo el empleo de auditores y
líderes de equipo auditor que tengan habilidades y
conocimientos genéricos de auditoría, así como
habilidades y conocimientos apropiados para realizar
auditorías en áreas técnicas específicas.
7.2.6 El organismo de certificación debe asegurarse de
que los auditores (y, cuando sea necesario, los
expertos técnicos) sean conocedores de sus
procesos de auditoría, los requisitos de certificación,
y otros requisitos pertinentes. El organismo de
certificación debe permitir a los auditores y a los
expertos técnicos tener acceso a un conjunto de
procedimientos documentados actualizados que
contengan las instrucciones para la auditoría y toda
la información pertinente sobre las actividades de
certificación.
7.2.7 El organismo de certificación debe identificar las
necesidades de formación y ofrecer o proporcionar
acceso a una formación específica, para asegurarse
de que sus auditores, expertos técnicos, y demás
personal involucrado en las actividades de
certificación sean competentes para las funciones
que desempeñan.
7.2.8 El grupo o la persona que toma la decisión de
otorgar, rechazar, mantener, renovar, suspender,
restaurar o retirar la certificación o ampliar o reducir
el alcance de la certificación, debe comprender la
norma aplicable y los requisitos de certificación, y
debe haber demostrado competencia para evaluar
los resultados de los procesos de auditoría incluidas
las recomendaciones relacionadas del equipo auditor
7.2.9 El organismo de certificación debe asegurarse del
desempeño satisfactorio de todo el personal
involucrado en las actividades de auditoría y otras
actividades de certificación. Debe tener un proceso
documentado para realizar el seguimiento de la
competencia y desempeño de todas las personas
involucradas, con base en la frecuencia de sus
intervenciones y en el nivel de riesgo vinculado a sus
actividades. En particular, el organismo de
certificación debe revisar y registrar la competencia
de su personal según su desempeño, con el fin de
identificar las necesidades de formación.
7.2.10 El organismo de certificación debe realizar el
seguimiento de cada auditor considerando cada tipo
de sistema de gestión para el que se considera
competente el auditor. El proceso de seguimiento
documentado para auditores debe incluir una
combinación de evaluación in situ, revisión de los
informes de auditoría y retroalimentación de los
clientes o del mercado. Este seguimiento debe
diseñarse de tal modo que haya alteración mínima de

a.c.
ISO/IEC 27006:
2015
los procesos normales de certificación,

especialmente, desde el punto de vista del cliente.
7.2.11 El organismo de certificación debe evaluar
periódicamente el desempeño de cada auditor in situ.
La frecuencia de las evaluaciones in situ se debe
basar en la necesidad determinada a partir de toda la
información de seguimiento disponible.
7.3 Empleo de auditores externos y expertos técnicos externos individuales
7.3 El organismo de certificación debe requerir a los
auditores externos y expertos técnicos externos que
tengan un acuerdo por escrito por el cual se
comprometen a cumplir las políticas aplicables y a
implementar los procesos definidos por el organismo
de certificación. El acuerdo debe tratar los aspectos
relacionados con la confidencialidad y la
imparcialidad y debe requerir que los auditores
externos y expertos técnicos externos notifiquen al
organismo de certificación cualquier relación
existente o previa con cualquier organización que se
les pueda asignar para auditar.
NOTA El empleo de un individuo o empleado de otra
organización contratado individualmente para servir como
auditor externo o técnico experto no constituye una
contratación externa.
7.3.1 Using external auditors or external technical experts
ISO/IEC as part of the audit team
27006:
2015
7.4 Registros relativos al personal
7.4 El organismo de certificación debe mantener
registros actualizados del personal, incluyendo todas
las calificaciones pertinentes, formación,
experiencia, afiliaciones, estatus profesional y
competencia. Esto incluye al personal de dirección y
administrativo además de aquellos que realizan las
actividades de certificación.
7.5 Contratación externa
que describa las condiciones bajo las que pueda
tener lugar una contratación externa (que consiste en
subcontratar a otra organización para que
proporcione parte de las actividades de certificación
en nombre del organismo de certificación).
El organismo de certificación debe tener un acuerdo
ejecutable legalmente que cubra los acuerdos,
incluyendo la confidencialidad y los conflictos de
intereses, con cada organismo que proporciona
servicios contratados externamente.
7.5.2 Las decisiones de otorgar, rechazar, mantener la
certificación, ampliar o reducir el alcance de la
certificación, renovar, suspender o restaurar, o retirar
la certificación no deben contratarse externamente.
7.5.3 El organismo de certificación debe:
a) ser responsable de todas las actividades
contratadas externamente a otro organismo;

a.c.
ISO/IEC 27006:
2015
b) asegurarse de que el organismo que proporciona

servicios contratados externamente, y las personas
que éste utiliza, son conformes con los requisitos del
organismo de certificación y también las
disposiciones aplicables de esta parte de la Norma
ISO/IEC 17021, incluyendo la competencia, la
imparcialidad y la confidencialidad, y;
c) asegurarse de que el organismo que proporciona
servicios contratados externamente, y las personas
que utiliza, no están involucradas directamente o por
medio de otro empleador con la organización que va
a ser auditada, de manera que pueda comprometer
la imparcialidad.
para la aprobación y el seguimiento de todos los
organismos que proporcionan servicios contratados
externamente utilizados en las actividades de
certificación, y debe asegurar que se mantienen los
registros de la competencia de todo el personal
involucrado en actividades de certificación.
NOTA 1 Para los apartados 7.5.1 a 7.5.4, cuando el
organismo de certificación involucra a individuos o
empleados de otras organizaciones para que proporcionen
recursos o pericia adicionales, estos individuos no
constituyen contratación externa, siempre y cuando se les
contrate individualmente para que trabajen dentro del
sistema de gestión del organismo de certificación (véase el
apartado 7.3).
NOTA 2 Para los apartados 7.5.1 a 7.5.4 los términos
“contratación externa” y subcontratación” se consideran
sinónimos
8 Requisitos relativos a la información
8.2 Documentos de certificación
8.2.1 El organismo de certificación debe proporcionar los
documentos de certificación al cliente certificado por
el medio que elija.
8.2.1 ISMS Certification documents
ISO/IEC Certification documents shall be signed by an officer who
27006: has been assigned such responsibility. The version of the
2015 Statement of Applicability shall be included in the
certification documents
8.4 Confidencialidad
8.4.1 Por medio de acuerdos legalmente ejecutables, el
organismo de certificación debe ser responsable de
la gestión de toda la información obtenida o creada
en el desempeño de sus actividades de certificación
en todos los niveles de su estructura, incluidos los
comités y los organismos o personas externas que
actúan en su nombre.
8.4.1 Access to organizational records
ISO/IEC Before the certification audit, the certification body shall
27006: ask the client to report if any ISMS related information
2015 (such as ISMS records or information about design and
effectiveness of controls) cannot be made available for
review by the audit team because it contains confidential or
sensitive information.

a.c.
ISO/IEC 27006:
2015
The certification body shall determine whether the ISMS

can be adequately audited in the absence of such
information. If the certification body concludes that it is not
possible to adequately audit the ISMS without reviewing
the identified confidential or sensitive information, it shall
advise the client that the certification audit cannot take
place until appropriate access arrangements are granted.
9 REQUISITOS DE LOS PROCESOS
9.1 Actividades previas a la certificación
9.1.1 Solicitud
9.1.1 El organismo de certificación debe exigir a un
representante autorizado de la organización
solicitante proporcionar la información necesaria que
le permita establecer lo siguiente:
a) el alcance deseado de la certificación;
b) los detalles pertinentes de la organización
solicitante, tal y como se requiera por el esquema de
certificación específico, incluido el nombre, y las
direcciones de sus ubicaciones físicas, sus procesos
y operaciones, recursos humanos y técnicos,
funciones, relaciones y cualquier obligación legal
pertinente;
c) la identificación de procesos contratados
externamente utilizados por la organización que
afectarán a la conformidad con los requisitos; y
d) las normas u otros requisitos para los cuales la
organización solicitante pide la certificación;
e) si se ha prestado consultoría relacionada con el
sistema de gestión que se va a certificar, y en caso
afirmativo, quién la proporcionó.
9.1.1.1 Application readiness
ISO/IEC The certification body shall require the client to have a
27006: 2015
documented and implemented ISMS which conforms to
ISO/IEC 27001 and other documents required for
certification.
9.1.2 Revisión de la solicitud
9.1.2.1 El organismo de certificación debe llevar a cabo una
revisión de la solicitud y de la información
complementaria de la certificación, a fin de
asegurarse de que:
a) la información relativa a la organización solicitante
y a su sistema de gestión es suficiente para
desarrollar un programa de auditoría (véase el
apartado 9.1.3);
b) se ha resuelto cualquier diferencia de
entendimiento conocida, entre el organismo de
certificación y la organización solicitante;
c) el organismo de certificación tiene la competencia
y la capacidad para llevar a cabo la actividad de
certificación;
d) se tienen en cuenta el alcance de la certificación
solicitada, las ubicaciones donde la organización
solicitante lleva a cabo sus operaciones, el tiempo
requerido para completar las auditorías y cualquier
otro asunto que tenga influencia sobre la actividad de

a.c.
ISO/IEC 27006:
2015
certificación (idioma, condiciones de seguridad,

amenazas a la imparcialidad, etc.).
9.1.2.2 Después de la revisión de la solicitud, el
organismo de certificación debe aceptar o rechazar
la solicitud de certificación. Cuando el organismo de
certificación rechaza una solicitud de certificación
como resultado de la revisión de la solicitud, debe
documentar las razones de su rechazo e indicarlas
claramente al cliente.
9.1.2.3 Con base en esta revisión, el organismo de
certificación debe determinar las competencias que
necesita para su equipo auditor y para tomar la
decisión de la certificación.
9.1.3 Programa de auditoría
9.1.3.1 Se debe desarrollar un programa de auditoría para el
ciclo completo de certificación, a fin de identificar
claramente las actividades de auditoría que se
requieren para demostrar que el sistema de gestión
del cliente cumple los requisitos de certificación,
según las normas u otros documentos normativos
elegidos. El programa de auditoría para el ciclo de
certificación debe abarcar todos los requisitos del
sistema de gestión.
9.1.3.1 General
ISO/IEC The audit programme for ISMS audits shall take the determined
27006: 2015 information security controls into account.
9.1.3.2 El programa de auditoría para la certificación inicial
debe incluir una auditoría inicial en dos etapas,
auditorías de seguimiento en el primer y segundo año
después de la decisión de certificación, y una
auditoría de renovación de la certificación en el tercer
año, antes de la caducidad de la certificación.
El ciclo de certificación de tres años comienza con la
decisión de certificación. Los ciclos posteriores
comienzan con la decisión de renovación de la
certificación (véase el apartado 9.6.3.2.3). La
determinación del programa de auditoría y cualquier
modificación subsiguiente deben tener en cuenta el
tamaño de la organización cliente, el alcance y la
complejidad de su sistema de gestión, los productos
y procesos, así como el nivel demostrado de eficacia
del sistema de gestión y los resultados de auditorías
previas.
NOTA 1 En el Anexo E se presenta un diagrama de flujo
de una auditoría y de un proceso de certificación típicos.
desarrolla o actualiza un programa de auditoría.
Es posible que también necesiten tratarse al
determinar el alcance de la auditoría y desarrollar el
plan de auditoría:
— las quejas recibidas por el organismo de
certificación sobre el cliente;
— la auditoría combinada, integrada o conjunta
— los cambios en los requisitos de la certificación;
— los cambios en los requisitos legales;
— los cambios en los requisitos de acreditación;

a.c.
ISO/IEC 27006:
2015
— los datos del desempeño de la organización (por

ejemplo, niveles de defectos, datos de indicadores
clave de desempeño);
— las preocupaciones de las partes interesadas
pertinentes.
NOTA 3 Si lo especifica el esquema de certificación de la
industria, el ciclo de certificación puede ser diferente de 3
años
9.1.3.2 Audit Methodology
ISO/IEC The certification body’s procedures shall not presuppose a
27006: 2015 particular manner of implementation of an ISMS or a particular
format for documentation and records. Certification procedures
shall focus on establishing that a client’s ISMS meets the
requirements specified in ISO/IEC 27001 and the policies and
objectives of the client.
9.1.3.3 Las auditorías de seguimiento deben realizarse al
menos una vez al año, excepto en los años de
renovación de la certificación. La fecha de la primera
auditoría de seguimiento después de la certificación
inicial no debe realizarse transcurridos más de 12
meses desde la fecha en que se tomó la decisión
sobre la certificación.
NOTA Puede ser necesario ajustar la periodicidad de las
auditorías de seguimiento para ajustarse a factores tales
como la estacionalidad o la certificación de sistemas de
gestión de duración limitada (por ejemplo, en un sitio de
construcción temporal).
9.1.3.3 General preparations for the initial audit
ISO/IEC The certification body shall require that a client makes all
27006: 2015 necessary arrangements for the access to internal audit reports
and reports of independent reviews of information security.
9.1.3.4 Cuando el organismo de certificación tiene en
cuenta una certificación ya otorgada al cliente, y
para las auditorías realizadas por otro organismo de
certificación, debe obtener y conservar evidencia
suficiente, tal como informes y documentación sobre
acciones correctivas, ante cualquier no
conformidad. La documentación debe apoyar el
cumplimiento de los requisitos de esta parte de la
Norma ISO/IEC 17021. Con base en la información
obtenida, el organismo de certificación debe
justificar y registrar cualquier ajuste al programa de
auditoría existente y hacer seguimiento a la
implementación realizada de las acciones
correctivas correspondientes a las no
conformidades previas.
9.1.3.4 Review periods
ISO/IEC The certification body shall not certify an ISMS unless it has been
27006: 2015 operated through at least one management review and one
internal ISMS audit covering the scope of certification.
9.1.3.5 Cuando el cliente trabaje con turnos, las actividades
que ocurran durante el trabajo de los turnos se deben
considerar cuando se desarrolle el programa de
auditoría y los planes de auditoría.
9.1.3.5 Scope of certification
ISO/IEC The audit team shall audit the ISMS of the client covered by the
27006: 2015 defined scope against all applicable certification requirements. The
certification body shall confirm, in the scope of the client ISMS,
that
clients address the requirements stated in ISO/IEC 27001, 4.3.

a.c.
ISO/IEC 27006:
2015
Certification bodies shall ensure that the client’s information

security risk assessment and risk treatment properly reflects its
activities and extends to the boundaries of its activities as defined
in the scope of certification. Certification bodies shall confirm that
this is reflected in the client’s scope of their ISMS and Statement of
Applicability. The certification body shall verify that there is at least
one Statement of Applicability per scope of certification.
Certification bodies shall ensure that interfaces with services or
activities that are not completely within the scope of the ISMS are
addressed within the ISMS subject to certification and are included
in the client’s information security risk assessment. An example of
such a situation is the sharing of facilities (e.g. IT systems,
databases and telecommunication systems or the outsourcing of a
business function) with other organizations.
9.1.3.6 Certification audit criteria
ISO/IEC The criteria against which the ISMS of a client is audited shall be
27006: 2015 the ISMS standard ISO/IEC 27001.
Other documents may be required for certification relevant to the
function performed
9.1.4 Determinación del tiempo de auditoría
9.1.4.1 El organismo de certificación debe tener
procedimientos documentados para determinar el
tiempo de auditoría. Para cada cliente, el organismo
de certificación debe determinar el tiempo necesario
para planificar y realizar una auditoría completa y
eficaz del sistema de gestión del cliente.
9.1.4.1 Audit time
ISO/IEC Certification bodies shall allow auditors sufficient time to undertake
27006: 2015 all activities relating to an initial audit, surveillance audit or re-
certification audit. The calculation of overall audit time shall include
sufficient time for audit reporting.
The certification body shall use Annex B to determine audit time.
9.1.4.2 Al determinar el tiempo de auditoría, el organismo de
certificación debe considerar, entre otros, los
siguientes aspectos:
a) los requisitos de la norma de sistema de gestión
pertinente;
b) la complejidad del cliente y de su sistema de
gestión;
c) el contexto tecnológico y reglamentario;
d) cualquier contratación externa de cualquier
actividad incluida en el alcance del sistema de
gestión;
e) los resultados de las auditorías previas;
f) el tamaño y número de sitios, su ubicación
geográfica, y consideraciones multisitio;
g) los riesgos asociados a los productos, a los
procesos o a las actividades de la organización;
h) si las auditorías son combinadas, conjuntas o
integradas.
NOTA 1 El tiempo empleado en el desplazamiento hacia y
desde los sitios auditados no se incluye en el cálculo de la
duración de los días de auditoría de sistemas de gestión.
NOTA 2 Cuando se documentan estos procedimientos, el
organismo de certificación puede usar las directrices
establecidas en la Norma ISO/IEC/TS 17023 para
determinar la duración de la auditoría de sistema de
gestión.
Cuando se hayan establecido criterios específicos
para un esquema de certificación específico, por

a.c.
ISO/IEC 27006:
2015
ejemplo ISO/TS 22003 o ISO/IEC 27006, se deben

aplicar estos criterios.
9.1.4.3 Se debe registrar la duración de la auditoría de
sistema de gestión, y su justificación.
9.1.4.4 El tiempo empleado por cualquier miembro del
equipo que no esté asignado como auditor (por
ejemplo, expertos técnicos, traductores, intérpretes,
observadores y auditores en formación) no se debe
contar en la duración establecida ya indicada
anteriormente, de la auditoría del sistema de gestión.
NOTA Emplear traductores e intérpretes puede requerir un
tiempo de auditoría adicional.
9.1.5 Muestreo multisitio
9.1.5 Cuando se utiliza un muestreo multisitio para la
auditoría del sistema de gestión de un cliente, que
cubra la misma actividad en varias ubicaciones
geográficas, el organismo de certificación debe
desarrollar un programa de muestreo para asegurar
una auditoría apropiada del sistema de gestión. Se
debe documentar la justificación del plan de
muestreo para cada cliente. No se permite muestreo
para algunos esquemas de certificación específicos,
y cuando se han establecido criterios específicos
para un esquema de certificación específico, por
ejemplo, ISO/TS 22003, se deben aplicar estos
criterios.
NOTA El muestreo no es apropiado cuando existen
múltiples sitios que no cubren la misma actividad.
9.1.5.1.1 Where a client has a number of sites meeting the criteria from a) to
ISO/IEC c) below, certification bodies may consider using a sample-based
27006: 2015 approach to multiple-site certification audit:
a) all sites are operating under the same ISMS, which is centrally
administered and audited and subject to central management
review;
b) all sites are included within the client’s internal ISMS audit
programme;
c) all sites are included within the client’s ISMS management review
programme.
9.1.5.1.2 The certification body wishing to use a sample-based approach shall
ISO/IEC have procedures in
27006: 2015 place to ensure the following:
a) The initial contract review identifies, to the greatest extent
possible, the difference between sites
such that an adequate level of sampling is determined.
b) A representative number of sites have been sampled by the
certification body, taking into account:
1) the results of internal audits of the head office and the sites;
2) the results of management review;
3) variations in the size of the sites;
4) variations in the business purpose of the sites;
5) complexity of the information systems at the different sites;
6) variations in working practices;
7) variations in activities undertaken;
8) variations of design and operation of controls;
9) potential interaction with critical information systems or
information systems processing
sensitive information;
10) any differing legal requirements;
11) geographical and cultural aspects;
12) risk situation of the sites;
13) information security incidents at the specific sites.

a.c.
ISO/IEC 27006:
2015
c) A representative sample is selected from all sites within the

scope of the client’s ISMS; this selection
shall be based upon judgmental choice to reflect the factors
presented in item b) above as well as a
random element.
d) Every site included in the ISMS which is subject to significant
risks is audited by the certification
body prior to certification.
e) The audit programme has been designed in the light of the
above requirements and covers
representative samples of the scope of the ISMS certification within
the three year period.
f) In the case of a nonconformity being observed, either at the head
office or at a single site, the
corrective action procedure applies to the head office and all sites
covered by the certificate.
The audit shall address the client’s head office activities to ensure
that a single ISMS applies to all sites and delivers central
management at the operational level. The audit shall address all the
issues outlined above
9.1.6 Sistemas de gestión múltiples
9.1.6 Cuando el organismo de certificación está llevando a
cabo certificación con base en múltiples normas de
sistema de gestión, la planificación de la auditoría
debe asegurar una auditoría in situ adecuada a fin de
proporcionar confianza en la certificación.
9.1.6.1 Integration of ISMS documentation with that for other
ISO/IEC management systems
27006: 2015
The certification body may accept documentation that is combined
(e.g. for information security, quality, health and safety and
environment) as long as the ISMS can be clearly identified together
with the appropriate interfaces to the other systems.
9.1.6.1.2 Combining management system audits
ISO/IEC The ISMS audit may be combined with audits of other management
27006: 2015 systems, provided that it can be demonstrated that the audit
satisfies all requirements for certification of the ISMS. All the
elements important to an ISMS shall appear clearly and be readily
identifiable in the audit reports. The quality of the audit shall not be
adversely affected by the combination of the audits.
9.2 Planificación de auditorías
9.2.1 Determinación de objetivos, alcance y criterios de la auditoría
9.2.1.1 El organismo de certificación debe determinar los
objetivos de la auditoría. El organismo de
certificación, después de consultar con el cliente,
debe establecer el alcance de la auditoría y sus
criterios, incluido cualquier cambio.
9.2.1.1 Audit objectives
ISO/IEC The audit objectives shall include the determination of the
27006: 2015 effectiveness of the management system to ensure that the client,
based on the risk assessment, has implemented applicable controls
and achieved the established information security objectives.
9.2.1.2 Los objetivos de la auditoría deben describir qué se
va lograr con la auditoría, y deben incluir lo siguiente:
a) la determinación de la conformidad del sistema de
gestión del cliente, o de partes de dicho sistema, con
los criterios de auditoría;
b) la determinación de la capacidad del sistema de
gestión para asegurar que la organización cliente
cumple los requisitos legales, reglamentarios y
contractuales aplicables;
NOTA Una auditoría de certificación de un sistema de
gestión no es una auditoría de cumplimiento legal.

a.c.
ISO/IEC 27006:
2015
c) la determinación de la eficacia del sistema de

gestión, para asegurar que el cliente puede tener
expectativas razonables con relación al cumplimiento
de los objetivos especificados;
d) cuando corresponda, la identificación de las áreas
de mejora potencial del sistema de gestión.
9.2.1.3 El alcance de la auditoría debe describir la extensión
y los límites de la auditoría, tal como las ubicaciones
físicas, las unidades organizacionales, las
actividades y los procesos a auditar. Cuando el
proceso inicial o de renovación de la certificación
consista en más de una auditoría (por ejemplo,
cuando cubra diferentes ubicaciones), el alcance de
una auditoría individual puede no cubrir por completo
el alcance de la certificación, pero la totalidad de las
auditorías debe ser coherente con el alcance del
documento de certificación.
9.2.1.4 Los criterios de auditoría deben usarse como
referencia para la determinación de la conformidad y
deben incluir:
— los requisitos de un documento normativo definido
sobre sistemas de gestión; y;
— los procesos definidos y la documentación del
sistema de gestión desarrollada por el cliente.
9.2.2 Selección del equipo auditor y asignación de tareas
9.2.2.1 Generalidades
9.2.2.1 Audit team
ISO/IEC The audit team shall be formally appointed and provided with the
27006: 2015 appropriate working documents. The mandate given to the audit
team shall be clearly defined and made known to the client.
An audit team may consist of one person provided that the person
meets all the criteria set out in 7.1.2.1.
9.2.2.1.1 El organismo de certificación debe tener un proceso
de selección y de designación del equipo auditor,
incluido el líder del equipo auditor y los expertos
técnicos, según se requieran, teniendo en cuenta la
competencia necesaria para lograr los objetivos de la
auditoría y los requisitos de imparcialidad.
Si sólo hay un auditor, éste debe tener las
competencias para realizar las tareas de un líder de
equipo auditor aplicables a la auditoría en cuestión.
El equipo auditor debe contar con todas las
competencias identificadas por el organismo de
certificación, como se establecen en el apartado
9.1.2.3 para la auditoría
9.2.2.1.2 Al decidir el tamaño y la composición del equipo
auditor, se debe tener en cuenta lo siguiente:
a) los objetivos, alcance y criterios de la auditoría, y
el tiempo estimado de la misma;
b) si la auditoría es una auditoría combinada,
integrada o conjunta;
c) la competencia global del equipo auditor necesaria
para lograr los objetivos de la auditoría (véase la
Tabla A.1);

a.c.
ISO/IEC 27006:
2015
d) los requisitos de la certificación (incluidos todos los

requisitos legales, reglamentarios o contractuales
aplicables);
e) el idioma y la cultura.
NOTA Se espera que el auditor líder de una auditoría
combinada o integrada tenga conocimiento profundo
de una de las normas como mínimo, y que tenga
conocimiento de las demás normas usadas para esa
auditoría en particular.
9.2.2.1.3 Los conocimientos y las habilidades necesarias del
líder del equipo auditor y de los auditores se pueden
complementar con expertos técnicos, traductores e
intérpretes que deben actuar bajo la dirección de un
auditor. Cuando se empleen traductores o
intérpretes, se seleccionarán de manera que no
influyan indebidamente en la auditoría.
NOTA Los criterios de selección de los expertos técnicos
se determinan caso por caso de acuerdo con las
necesidades del equipo auditor y el alcance de la
auditoría.
9.2.2.1.4 Los auditores en formación pueden participar en la
auditoría, siempre que se designe un auditor como
evaluador. El evaluador debe tener la competencia
para asumir las tareas y tener la responsabilidad final
de las actividades y los hallazgos del auditor en
formación.
9.2.2.1.5 El líder del equipo auditor, en consulta con el equipo
auditor, debe asignar a cada miembro del equipo la
responsabilidad de auditar procesos, funciones,
sitios, áreas o actividades específicas. Esta
asignación debe tener en cuenta la necesidad de
competencias, el empleo eficaz y eficiente del equipo
auditor, así como los diferentes roles y
responsabilidades de los auditores, los auditores en
formación y los expertos técnicos. Se pueden hacer
cambios en la asignación de tareas a medida que
avance la auditoría, para asegurar el logro de los
objetivos de la auditoría.
9.2.2.2 Observadores, expertos técnicos y guías
9.2.2.2 Audit team competence
ISO/IEC The requirements listed in 7.1.2 apply. For surveillance and special
27006: 2015 audit activities, only those requirements which are relevant to the
scheduled surveillance activity and special audit activity apply.
When selecting and managing the audit team to be appointed for a
specific certification audit the certification body shall ensure that the
competences brought to each assignment are appropriate.
The team shall:

a) have appropriate technical knowledge of the specific activities
within the scope of the ISMS for which certification is sought and,
where relevant, with associated procedures and their potential
information security risks (technical experts may fulfil this function);
b) have understanding of the client sufficient to conduct a reliable
certification audit of its ISMS given the ISMS’ scope and context
within the organization in managing the information security
aspects of its activities, products and services;
c) have appropriate understanding of the legal and regulatory
requirements applicable to the client’s ISMS.
9.2.2.2.1 Observadores

a.c.
ISO/IEC 27006:
2015
9.2.2.2.1 La presencia y la justificación de observadores

durante una actividad de auditoría deben acordarse
entre el organismo de certificación y el cliente antes
de la realización de la auditoría. El equipo auditor
debe asegurarse de que los observadores no
influyen ni interfieren de manera indebida en el
proceso de auditoría o en el resultado de la misma.
NOTA Los observadores pueden ser miembros de la
organización cliente, consultores, personal de un
organismo de acreditación que lleva a cabo una
testificación, autoridades reglamentarias o cualquier otra
persona cuya presencia esté justificada.
9.2.2.2.2 Expertos técnicos
El rol de expertos técnicos durante una actividad de
auditoría debe acordarse entre el organismo de
certificación y el cliente antes de la realización de la
auditoría. El experto técnico no debe actuar como
auditor en el equipo auditor. Los expertos técnicos
deben estar acompañados por un auditor.
NOTA Los expertos técnicos pueden proporcionar
asesoría al equipo auditor para la preparación de la
auditoría, su planificación o ejecución.
9.2.2.2.3 Guías
Cada auditor debe estar acompañado de un guía, a
menos que se acuerde de otra manera entre el líder
del equipo auditor y el cliente. Los guías se asignan
al equipo auditor para facilitar la auditoría. El equipo
auditor debe asegurarse de que los guías no influyan
ni interfieran con el proceso de auditoría ni con los
resultados de la misma.
NOTA 1 Las responsabilidades de un guía pueden incluir:
a) establecer los contactos y horarios para las entrevistas;
b) acordar las visitas a partes específicas del sitio o de la
organización;
c) asegurarse de que los miembros del equipo auditor
conozcan y respeten las reglas concernientes a los
procedimientos de protección y seguridad del sitio;
d) atestiguar la auditoría en nombre del cliente;
e) proporcionar aclaraciones o información cuando lo
solicite el auditor.
NOTA 2 Cuando resulte apropiado, el auditado puede
actuar como guía
9.2.3 Plan de auditoría
9.2.3.1 El organismo de certificación debe asegurarse de
que se establezca un plan de auditoría previo a cada
auditoría identificada en el programa de auditoría,
que proporcione las bases para llegar a un acuerdo
sobre la realización y la programación de las
actividades de auditoría.
NOTA No se espera que el organismo de certificación
desarrolle un plan de auditoría para cada auditoría en
el momento que se desarrolle el programa de auditoría.
9.2.3.1 General
ISO/IEC The audit plan for ISMS audits shall take the determined
27006: 2015 information security controls into account.
9.2.3.2 Preparación del plan de auditoría

a.c.
ISO/IEC 27006:
2015
9.2.3.2 El plan de auditoría debe ser apropiado para los

objetivos y al alcance de la auditoría. El plan de
auditoría debe, al menos, incluir o hacer referencia a
lo siguiente:
a) los objetivos de la auditoría;
b) los criterios de la auditoría;
c) el alcance de la auditoría, incluida la identificación
de las unidades organizacionales y funcionales o los
procesos por auditar;
d) las fechas y los sitios en los que se van a realizar
las actividades de auditoría in situ, incluidas las
visitas a los sitios temporales y actividades de
auditoría remota, cuando corresponda;
e) la duración prevista para las actividades de
auditoría in situ; y
f) los roles y las responsabilidades de los miembros
del equipo auditor y de las personas que los
acompañan, tales como observadores e intérpretes.
NOTA La información del plan de auditoría puede estar
contenida en más de un documento.
9.2.3.2 Network-assisted audit techniques
ISO/IEC The audit plan shall identify the network-assisted auditing
27006: 2015 techniques that will be utilized during the audit, as appropriate.
Network assisted auditing techniques may include, for example,
teleconferencing, web meeting, interactive web-based
communications and remote electronic access to the ISMS
documentation or ISMS processes. The focus of such techniques
should be to enhance audit effectiveness and efficiency and should
support the integrity of the audit process.
9.2.3.3 Comunicación de las tareas del equipo auditor
9.2.3.3 Se deben definir las tareas asignadas al equipo
auditor, y se debe requerir al equipo auditor que:
a) examine y verifique la estructura, las políticas, los
procesos, los procedimientos, los registros y los
documentos relacionados con el cliente pertinentes a
la norma de sistema de gestión;
b) determine que estos cumplen todos los requisitos
pertinentes al alcance previsto de la certificación;
c) determine que los procesos y procedimientos se
hayan establecido, implementado y mantenido
eficazmente para dar confianza en el sistema de
gestión del cliente;
d) comunique al cliente cualquier incoherencia entre
su política, sus objetivos y metas, para que actúe en
consecuencia.
9.2.3.3 Timing of audit
ISO/IEC A certification body should agree with the organization to be
27006: 2015 audited the timing of the audit which will
best demonstrate the full scope of the organization. The
consideration could include season, month,
day/dates and shift as appropriate.
9.2.3.4 Comunicación del plan de auditoría
9.2.3.4 Se debe comunicar el plan de auditoría y se deben
acordar, con antelación, las fechas de la auditoría
con el cliente.
9.2.3.5 Comunicación relativa a los miembros del equipo auditor
9.2.3.5 El organismo de certificación debe proporcionar el
nombre y, cuando se solicite, poner a disposición los

a.c.
ISO/IEC 27006:
2015
antecedentes de cada miembro del equipo auditor,

con tiempo suficiente para permitir que el cliente
pueda objetar la designación de un miembro en
particular del equipo auditor, y que el organismo de
certificación reconstituya el equipo en respuesta a
cualquier objeción justificada.
9.3 Certificación inicial
9.3.1 Auditoría inicial de certificación
9.3.1.1 La auditoría inicial de certificación de un sistema de
gestión debe realizarse en dos etapas: etapa 1 y
etapa 2.
9.3.1.1 Stage 1
ISO/IEC In this stage of the audit the certification body shall obtain
27006: 2015 documentation on the design of the ISMS covering the
documentation required in ISO/IEC 27001.
The certification body shall obtain a sufficient understanding of the
design of the ISMS in the context of the client’s organization, risk
assessment and treatment (including the controls determined),
information security policy and objectives and, in particular, of the
client’s preparedness for the audit.
This allows planning for stage 2.
The results of stage 1 shall be documented in a written report. The
certification body shall review the stage 1 audit report before
deciding on proceeding with stage 2 and for selecting the stage 2
audit team members with the necessary competence.
The certification body shall make the client aware of the further
types of information and records that may be required for detailed
examination during stage 2.
9.3.1.2 Etapa 1
9.3.1.2.1 En la planificación se debe asegurar que se puedan
cumplir los objetivos de la etapa 1, y de que se
informe al cliente de todas las actividades in situ
durante la etapa 1.
NOTA La etapa 1 no requiere un plan de auditoría formal
(véase 9.2.3).
9.3.1.2.1 Stage 2
ISO/IEC On the basis of findings documented in the stage 1 audit report, the
27006: 2015 certification body develops an audit plan for the conduct of stage 2.
In addition to evaluating the effective implementation
of the ISMS, the objectives of stage 2 are:
a) to confirm that the client adheres to its own policies, objectives
and procedures.
9.3.1.2.2 Los objetivos de la etapa 1 son:
a) revisar la información documentada del sistema de
gestión del cliente;
b) evaluar las condiciones específicas del sitio del
cliente e intercambiar información con el personal del
cliente con el fin de determinar el estado de
preparación para la etapa 2;
c) revisar el estado del cliente y su grado de
comprensión de los requisitos de la norma, en
particular en lo que concierne a la identificación del
desempeño clave o de aspectos, procesos, objetivos
y funcionamiento significativos del sistema de
gestión;
d) recopilar la información necesaria correspondiente
al alcance del sistema de gestión, que incluye:
— las ubicaciones del cliente;
— los procesos y equipos empleados;

a.c.
ISO/IEC 27006:
2015
—los niveles de controles establecidos

(particularmente en caso de clientes multisitio);
— los requisitos legales y reglamentarios aplicables;
e) revisar la asignación de recursos para la etapa 2 y
acordar con el cliente los detalles de ésta;
f) proporcionar un enfoque para la planificación de la
etapa 2 mediante la comprensión suficiente del
sistema de gestión del cliente y de las operaciones
del sitio en el contexto de la norma del sistema de
gestión u otros documentos normativos;
g) evaluar si las auditorías internas y la revisión por
la dirección se planifican y realizan, y si el nivel de
implementación del sistema de gestión confirma que
la organización cliente está preparada para la etapa
2.
NOTA Se recomienda que por lo menos parte de la etapa
1 se realice en las instalaciones del cliente, a fin de lograr
los objetivos establecidos anteriormente.
9.3.1.2.2 To do this, the audit shall focus on the client’s:
ISO/IEC a) top management leadership and commitment to information
27006: 2015 security policy and the information security objectives;
b) documentation requirements listed in ISO/IEC 27001;
c) assessment of information security related risks and that the
assessments produce consistent, valid and comparable results if
repeated;
d) determination of control objectives and controls based on the
information security risk assessment and risk treatment processes;
e) information security performance and the effectiveness of the
ISMS, evaluating against the information security objectives;
f) correspondence between the determined controls, the Statement
of Applicability and the results of the information security risk
assessment and risk treatment process and the information security
policy and objectives;
g) implementation of controls (see Annex D), taking into account
the external and internal context and related risks, the
organization’s monitoring, measurement and analysis of information
security
processes and controls, to determine whether controls are
implemented and effective and meet their stated information
security objectives;
h) programmes, processes, procedures, records, internal audits
and reviews of the ISMS effectiveness to ensure that these are
traceable to top management decisions and the information
security policy
and objectives.
9.3.1.2.3 Se deben comunicar al cliente las conclusiones
documentadas con respecto al cumplimiento de los
objetivos de la etapa 1 y el estado de preparación
para la etapa 2, incluida la identificación de cualquier
área de interés que se pudiera clasificar como no
conformidad durante la etapa 2.
NOTA No es necesario que las salidas de la etapa 1
cumplan los requisitos completos de un informe (véase el
apartado 9.4.8).
9.3.1.2.4 Al determinar el intervalo entre la etapa 1 y la etapa
2, se deben considerar las necesidades del cliente
para resolver los problemas identificados en la etapa
1. El organismo de certificación puede asimismo
tener que revisar sus acuerdos para la etapa 2. Si
ocurren cambios significativos que pudieran impactar
el sistema de gestión, el organismo de certificación
debe considerar la necesidad de repetir toda la etapa

a.c.
ISO/IEC 27006:
2015
1, o una parte de ella. Se debe informar al cliente que

los resultados de la etapa 1 pueden conducir al
aplazamiento o cancelación de la etapa 2.
9.3.1.3 Etapa 2
9.3.1.3 El propósito de la etapa 2 es evaluar la
implementación, incluida la eficacia del sistema de
gestión del cliente. La etapa 2 debe tener lugar en los
sitios del cliente. Debe incluir al menos lo siguiente:
a) la información y evidencia de la conformidad con
todos los requisitos de la norma de sistemas de
gestión aplicable u otros documentos normativos;
b) la realización de seguimiento, medición, informe y
revisión con relación a los objetivos y metas de
desempeño clave (coherentes con las expectativas
de la norma de sistemas de gestión aplicable u otro
documento normativo);
c) la capacidad del sistema de gestión del cliente y
su desempeño en relación con el cumplimiento de
requisitos legales, reglamentarios y contractuales
aplicables;
d) el control operacional de los procesos del cliente;
e) las auditorías internas y la revisión por la dirección;
f) la responsabilidad de la dirección en relación con
las políticas del cliente.
9.3.1.4 Conclusiones de la auditoría inicial de certificación
9.3.1.4 El equipo auditor debe analizar toda la información y
las evidencias de auditoría obtenidas durante las
etapas 1 y 2, para revisar los hallazgos de auditorías
y acordar las conclusiones de la auditoría.
9.4 Realización de auditorías
9.4.1 Generalidades
para realizar las auditorías in situ. Este proceso debe
incluir una reunión de apertura al comienzo de la
auditoría y una reunión de cierre al concluir la
auditoría.
Cuando una parte de la auditoría se realiza por
medios electrónicos o cuando el sitio que se va a
auditar es virtual, el organismo de certificación debe
asegurarse de que dichas actividades sean
realizadas por el personal con la competencia
adecuada. La evidencia obtenida durante dicha
auditoría debe ser suficiente para que el auditor
pueda tomar una decisión informada sobre la
conformidad del requisito en cuestión.
NOTA Las auditorías in situ pueden incluir el acceso
remoto a sitios electrónicos que contengan información
pertinente para la auditoría del sistema de gestión.
También se debe prestar especial cuidado al uso de los
medios electrónicos durante la realización de las
auditorías.
9.4.1 General
ISO/IEC The certification body shall have documented procedures
27006: 2015
for:

a.c.
ISO/IEC 27006:
2015
a) the initial certification audit of a client’s ISMS, in

accordance with the provisions of ISO/IEC 17021-1;
b) surveillance and re-certification audits of a client’s ISMS
in accordance with ISO/IEC 17021-1 on a periodic basis for
continuing conformity with relevant requirements and for
verifying and recording that a client takes corrective action
on a timely basis to correct all nonconformities.
9.4.2 Realización de la reunión de apertura
9.4.2 Se debe realizar una reunión formal de apertura con
la dirección del cliente y, cuando sea apropiado, con
los responsables de las funciones o procesos que se
van a auditar. El propósito de la reunión de apertura,
que debe dirigirla normalmente el líder del equipo
auditor, es proporcionar una corta explicación sobre
la manera en que se desarrollarán las actividades de
auditoría. El grado de detalle debe ser coherente con
la familiaridad que tenga el cliente con el proceso de
auditoría y debe considerar lo siguiente:
a) una presentación de los participantes, incluida una
breve descripción de sus roles;
b) confirmación del alcance de la certificación;
c) confirmación del plan de auditoría (incluyendo el
tipo y el alcance de la auditoría, los objetivos y los
criterios), cualquier cambio, y otros acuerdos
pertinentes con el cliente, tales como la fecha y la
hora de la reunión de cierre, las reuniones
intermedias entre el equipo auditor y la dirección del
cliente;
d) confirmación de los canales de comunicación
formales entre el equipo auditor y el cliente;
e) confirmación de que están disponibles los
recursos y las instalaciones que requiere el equipo
auditor;
f) confirmación de los temas relativos a la
confidencialidad;
g) confirmación de los procedimientos de protección,
emergencia y seguridad ocupacional, para el equipo
auditor;
h) confirmación de la disponibilidad, de los roles y de
la identidad de los guías y observadores;
i) el método para presentar la información, incluida
cualquier categorización de los hallazgos de la
auditoría;
j) información sobre las condiciones bajo las cuales
la auditoría puede darse por terminada
prematuramente;
k) confirmación de que el líder y los miembros del
equipo auditor que representan al organismo de
certificación son responsables de la auditoría y que
deben controlar la ejecución del plan de auditoría,
incluidas las actividades y las líneas de investigación
de la auditoría;
l) confirmación del estado de los hallazgos de la
revisión o auditoría anterior, cuando corresponda;
m) los métodos y procedimientos que se van a utilizar
para llevar a cabo la auditoría sobre la base

a.c.
ISO/IEC 27006:
2015
de un muestreo;
n) confirmación del idioma que se utilizará durante la
auditoría;
o) confirmación de que durante la auditoría se
mantendrá informado al cliente sobre el progreso de
la auditoría y sobre cualquier problema; y;
p) oportunidad para que el cliente haga preguntas.
9.4.2 Specific elements of the ISMS audit
ISO/IEC The certification body, represented by the audit team, shall:
27006: 2015
a) require the client to demonstrate that the assessment of
information security related risks is
relevant and adequate for the ISMS operation within the
ISMS scope;
b) establish whether the client’s procedures for the
identification, examination and evaluation of information
security related risks and the results of their
implementation are consistent with the client’s policy,
objectives and targets.
The certification body shall also establish whether the

procedures employed in risk assessment are sound and
properly implemented.
9.4.3 Comunicación durante la auditoría
9.4.3.1 Durante la auditoría, el equipo auditor debe evaluar
periódicamente el progreso de la auditoría e
intercambiar información. El líder del equipo auditor
debe reasignar el trabajo entre los miembros del
equipo auditor, si fuera necesario, y comunicar
periódicamente al cliente el progreso de la auditoría
y cualquier problema.
9.4.3.1 In addition to the requirements for reporting in ISO/IEC
ISO/IEC 17021-1, 9.4.8, the audit report shall provide the following
27006: 2015
information or a reference to it:
a) an account of the audit including a summary of the
document review;
b) an account of the certification audit of the client’s
information security risk analysis;
c) deviations from the audit plan (e.g. more or less time
spent on certain scheduled activities);
d) the ISMS’ scope.
9.4.3.2 Cuando las evidencias disponibles de la auditoría
indiquen que los objetivos de la auditoría no son
alcanzables o sugieran la presencia de un riesgo
inmediato y significativo (por ejemplo, en materia de
seguridad), el líder del equipo auditor debe informar
de este hecho al cliente y, si es posible, al organismo
de certificación, para determinar las acciones
apropiadas. Estas acciones pueden incluir la
reconfirmación o la modificación del plan de
auditoría, cambios en los objetivos de la auditoría o
en su alcance, o la finalización de la auditoría. El líder
del equipo auditor debe informar al organismo de
certificación del resultado de las acciones tomadas.
9.4.3.2 The audit report shall be of sufficient detail to facilitate and
ISO/IEC support the certification decision.
27006: 2015
It shall contain:
a) significant audit trails followed and audit methodologies
utilized (see 9.1.3.2);

a.c.
ISO/IEC 27006:
2015
b) observations made, both positive (e.g. noteworthy

features) and negative (e.g. potential nonconformities);
c) comments on the conformity of the client’s ISMS with the
certification requirements with a clear statement of
nonconformity, a reference to the version of the Statement
of Applicability and, where applicable, any useful
comparison with the results of previous certification audits
of the client.
Completed questionnaires, checklists, observations, logs,
or auditor notes may form an integral part of the audit
report. If these methods are used, these documents shall
be submitted to the certification body as evidence to
support the certification decision. Information about the
samples evaluated during the audit shall be included in the
audit report, or in other certification documentation.
The report shall consider the adequacy of the internal
organization and procedures adopted by the client to give
confidence in the ISMS.
In addition to the requirements for reporting in ISO/IEC
17021-1, 9.4.8, the report shall cover:
— a summary of the most important observations, positive
as well as negative, regarding the
implementation and effectiveness of the ISMS
requirements and IS controls;
— the audit team’s recommendation as to whether the
client’s ISMS should be certified or not, with
information to substantiate this recommendation.
9.4.3.3 El líder del equipo auditor debe revisar con el cliente
cualquier necesidad de modificación del alcance de
la auditoría que surja a medida que avancen las
actividades de la auditoría in situ e informar de esto
al organismo de certificación.
9.4.4 Recopilación y verificación de la información
9.4.4.1 Durante la auditoría, la información pertinente para
los objetivos, el alcance y los criterios de la auditoría
(incluyendo la información relacionada con las
interfaces entre funciones, actividades y procesos)
debe recopilarse mediante un muestreo apropiado, y
verificarse para convertirse en evidencias de
auditoría.
9.4.4.2 Los métodos para recopilar la información deben
incluir, pero no limitarse a:
a) las entrevistas;
b) la observación de los procesos y las actividades; y
c) la revisión de la documentación y de los registros.
9.4.5 Identificación y registro de los hallazgos de auditoría
9.4.5.1 Los hallazgos de auditoría que resumen la
conformidad y detallan las no conformidades deben
identificarse, clasificarse y registrarse para permitir
que se tome una decisión informada sobre la
concesión o mantenimiento de la certificación.
9.4.5.2 Se pueden identificar y registrar oportunidades de
mejora, a menos que lo prohíban los requisitos de un
esquema de certificación de sistema de gestión. Sin
embargo, los hallazgos de auditoría que
corresponden a no conformidades no deben
registrarse como oportunidades de mejora.

a.c.
ISO/IEC 27006:
2015
9.4.5.3 Un hallazgo de no conformidad debe registrarse con

relación a un requisito específico, y debe contener
una declaración clara de la no conformidad,
identificando en detalle las evidencias objetivas en
las que se basa la no conformidad. Las no
conformidades deben discutirse con el cliente, con el
fin de asegurar que las evidencias son exactas y que
se entienden las no conformidades. Sin embargo, el
auditor debe abstenerse de sugerir la causa de las
no conformidades o su solución.
9.4.5.4 El líder del equipo auditor debe intentar resolver
todas las diferencias de opinión sobre las evidencias
o los hallazgos de la auditoría, entre el equipo auditor
y el cliente. Se deben registrar los puntos no
resueltos.
9.4.6 Preparación de las conclusiones de la auditoría
9.4.6 Bajo la responsabilidad del líder del equipo auditor y
antes de la reunión de cierre, el equipo auditor debe:
a) revisar los hallazgos de auditoría y cualquier otra
información apropiada reunida durante la auditoría,
con respecto a los objetivos y los criterios de la
auditoría, y clasificar las no conformidades;
b) acordar las conclusiones de la auditoría, teniendo
en cuenta la incertidumbre inherente al proceso de
auditoría;
c) acordar cualquier acción de seguimiento
necesaria;
d) confirmar que el programa de auditoría es
adecuado o identificar cualquier modificación que
sea necesaria para futuras auditorias (por ejemplo, el
alcance de la certificación, el tiempo o las fechas de
la auditoría, la frecuencia de la vigilancia, las
competencias del equipo auditor).
9.4.7 Realización de la reunión de cierre
9.4.7.1 Se debe realizar una reunión formal de cierre con la
dirección del cliente y, cuando sea apropiado, con los
responsables de las funciones o procesos auditados.
Se debe registrar la asistencia a esta reunión. El
propósito de la reunión de cierre, que normalmente
es realizada por el líder del equipo auditor, es
presentar las conclusiones de la auditoría,
incluyendo las recomendaciones relativas a la
certificación. Las no conformidades se deben
presentar de manera que se entiendan, y se debe
acordar el plazo de respuesta.
NOTA La expresión “que se entiendan” no significa
necesariamente que el cliente haya aceptado las no
conformidades.
9.4.7.2 La reunión de cierre también debe incluir los
siguientes elementos, cuyo grado de detalle debe ser
coherente con la familiaridad que tenga el cliente con
el proceso de auditoría:
a) informar al cliente de que las evidencias de
auditoría reunidas se basan en una muestra de la

a.c.
ISO/IEC 27006:
2015
información, lo que introduce, de hecho, un elemento

de incertidumbre;
b) el método y plazo para presentar el informe,
incluida cualquier categorización de los hallazgos de
la auditoría;
c) el proceso del organismo de certificación para el
tratamiento de las no conformidades, incluida
cualquier consecuencia relativa al estado de la
certificación del cliente;
d) el plazo para que el cliente presente un plan de
corrección y acciones correctivas para cualquier no
conformidad identificada durante la auditoría;
e) las actividades del organismo de certificación
posteriores a la auditoría; y
f) la información acerca de los procesos de
tratamiento de quejas y apelaciones.
9.4.7.3 El cliente debe tener la oportunidad de hacer
preguntas. Se deben discutir las diferencias de
opinión acerca de los hallazgos o las conclusiones de
la auditoría entre el equipo auditor y el cliente, y en la
medida de lo posible, deben resolverse. Las
diferencias de opinión que no se resuelvan deben
registrarse y remitirse al organismo de certificación.
9.4.8 Informe de auditoría
9.4.8.1 El organismo de certificación debe proporcionar al
cliente un informe escrito de cada auditoría.
El equipo auditor puede identificar oportunidades de
mejora, pero no debe recomendar soluciones
específicas. El organismo de certificación debe
mantener la propiedad del informe de auditoría.
9.4.8.2 El líder del equipo auditor debe asegurarse de que se
prepare el informe de auditoría y debe ser
responsable de su contenido. El informe de auditoría
debe proporcionar un registro exacto, claro y conciso
de la auditoría, que permita tomar una decisión de
certificación informada y debe incluir o hacer
referencia a lo siguiente:
a) la identificación del organismo de certificación;
b) el nombre y la dirección del cliente y del
representante del cliente;
c) el tipo de auditoría (por ejemplo, auditoría inicial,
de seguimiento, de renovación de la certificación o
auditorias especiales);
d) los criterios de la auditoría;
e) los objetivos de la auditoría;
f) el alcance de la auditoría, particularmente la
identificación de las unidades organizacionales o
funcionales o los procesos auditados, así como el
tiempo de la auditoría;
g) cualquier desviación del plan de auditoría y su
justificación;
h) cualquier cuestión significativa que afecte al
programa de auditoría;

a.c.
ISO/IEC 27006:
2015
i) la identificación del líder del equipo auditor, los

miembros del equipo auditor y cualquier persona
acompañante;
j) las fechas y lugares en los que se realizaron las
actividades de auditoría (en sitio o fuera del sitio, en
sitios temporales o permanentes);
k) los hallazgos de auditoría (véase el apartado
9.4.5), referencia a las evidencias y conclusiones
coherentes con los requisitos del tipo de auditoría; l)
cambios significativos, si los hay, que afecten al
sistema de gestión del cliente desde la última
auditoría;
m) cualquier cuestión no resuelta, si fuera
identificado;
n) cuando sea aplicable, si es una auditoría conjunta,
combinada o integrada;
o) una declaración de descargo de responsabilidad
que indique que la auditoría se basa en un proceso
de muestreo de la información disponible;
p) la recomendación del equipo auditor;
q) que el cliente está controlando de manera eficiente
el uso de los documentos y marca de certificación, si
es aplicable;
r) la verificación de la eficacia de las acciones
correctivas tomadas con relación a no conformidades
identificadas previamente, si es aplicable.
9.4.8.3 El informe también debe contener:
a) una declaración sobre la conformidad y eficacia
del sistema de gestión, junto con un resumen de la
evidencia relacionada con:
— la capacidad del sistema de gestión para cumplir
los requisitos aplicables y lograr los
resultados esperados;
— la auditoría interna y el proceso de revisión por la
dirección;
b) una conclusión sobre lo apropiado del alcance de
la certificación;
c) una confirmación de que se han cumplido los
objetivos de la auditoría.
9.4.9 Análisis de las causas de las no conformidades
9.4.9 El organismo de certificación debe requerir al cliente
que analice las causas y que describa las
correcciones específicas y las acciones correctivas
realizadas o planificadas, para eliminar las no
conformidades detectadas, en un plazo definido.
9.4.10 Eficacia de las correcciones y acciones correctivas
9.4.10 El organismo de certificación debe revisar las
correcciones, las causas identificadas y las acciones
correctivas enviadas por el cliente, para determinar si
son aceptables. El organismo de certificación debe
verificar la eficacia de cualquier corrección y acción
correctiva tomada. Se deben registrar las evidencias
obtenidas que soporten la resolución de las no
conformidades. Se debe informar al cliente del
resultado de la revisión y de la verificación. También

a.c.
ISO/IEC 27006:
2015
se le debe informar si se necesitará una auditoría

adicional completa, una auditoría adicional limitada,
o evidencia documentada (por confirmar durante
futuras auditorías), para verificar que las
correcciones y las acciones correctivas son eficaces.
NOTA La verificación de la eficacia de las correcciones y
de las acciones correctivas puede llevarse a cabo con
base en una revisión de la información documentada
proporcionada por el cliente, o cuando sea necesario,
mediante una verificación in situ. Por lo general, esta
actividad la realiza un miembro del equipo auditor.
9.5 Decisión de certificación
9.5.1 Generalidades
9.5.1 Certification decision
ISO/IEC The certification decision shall be based, additionally to the
27006: 2015
requirements of ISO/IEC 17021-1, on the certification
recommendation of the audit team as provided in their
certification audit report (see 9.4.3).
The persons or committees that take the decision on
granting certification should not normally overturn a
negative recommendation of the audit team. If such a
situation does arise, the certification body shall document
and justify the basis for the decision to overturn the
recommendation.
Certification shall not be granted to the client until there is
sufficient evidence to demonstrate that arrangements for
management reviews and internal ISMS audits have been
implemented, are effective and will be maintained.
9.5.1.1 El organismo de certificación debe asegurarse de
que las personas o comités que toman las decisiones
de otorgamiento o rechazo de certificación,
ampliación o reducción del alcance de la
certificación, suspensión o restauración, retirada o
renovación de la certificación, son diferentes de
aquellas que llevaron a cabo las auditorías. El
individuo o los individuos designados para tomar la
decisión de certificación deben tener la competencia
apropiada.
9.5.1.2 Las personas (excluidos los miembros de comités,
véase el apartado 6.1.4) asignadas por el organismo
de certificación para tomar una decisión de
certificación deben ser empleadas del organismo de
certificación, o tener un acuerdo legalmente
ejecutable con éste o con una entidad bajo el control
organizacional del organismo de certificación. El
control organizacional de un organismo de
certificación debe ser uno de los siguientes:
a) propiedad total o mayoritaria de otra entidad por
parte del organismo de certificación;
b) participación mayoritaria por parte del organismo
de certificación en junta directiva de otra entidad;
c) autoridad documentada del organismo de
certificación sobre otra entidad en una red de
entidades legales (a la que pertenece el organismo
de certificación), vinculada por propiedad o por el
control de la junta directiva.

a.c.
ISO/IEC 27006:
2015
NOTA En el caso de organismos de certificación

gubernamentales, otras partes del mismo gobierno se
pueden considerar “vinculadas por propiedad” al
organismo de certificación.
9.5.1.3 Las personas empleadas por, o bajo contrato con,
entidades bajo control organizacional deben cumplir
los mismos requisitos de esta parte de la Norma
ISO/IEC 17021 que las personas empleadas por, o
bajo contrato con, el organismo de certificación.
9.5.1.4 El organismo de certificación debe registrar cada
decisión de certificación, incluida cualquier
información adicional o aclaración pedida al equipo
auditor u otras fuentes
9.5.2 Acciones previas a la toma de la decisión
9.5.2 El organismo de certificación debe contar con un
proceso para llevar a cabo una revisión eficaz antes
de tomar una decisión de otorgamiento de
certificación, ampliación o reducción del alcance de
la certificación, renovación, suspensión o
restauración, o retirada de la certificación, incluyendo
que a) la información proporcionada por el equipo
auditor es suficiente con respecto a los requisitos de
certificación y al alcance de la certificación;
b) para cualquier no conformidad mayor, se han
revisado, aceptado y verificado las correcciones y
acciones correctivas;
c) para cualquier no conformidad menor, se ha
revisado y aceptado el plan del cliente para
correcciones y acciones correctivas.
9.5.3 Información para otorgamiento inicial de la certificación
9.5.3.1 La información proporcionada por el equipo auditor al
organismo de certificación para la toma de decisión
de la certificación debe incluir como mínimo:
a) el informe de auditoría;
b) los comentarios sobre las no conformidades y,
cuando sea aplicable, las correcciones y las acciones
correctivas llevadas a cabo por el cliente;
c) la confirmación de la información proporcionada al
organismo de certificación y utilizada para la revisión
de la solicitud (véase el apartado 9.1.2);
d) la confirmación de que se han logrado los objetivos
de la auditoría; y
e) la recomendación de otorgar o no la certificación,
junto con cualquier condición u observación.
9.5.3.2 Si el organismo de certificación no puede verificar la
implementación de las correcciones y acciones
correctivas de cualquier no conformidad mayor
dentro de los 6 meses posteriores al último día de la
etapa 2, el organismo de certificación debe realizar
otra auditoría de etapa 2 antes de recomendar la
certificación.
9.5.3.3 Cuando se prevé la transferencia de la certificación
de un organismo de certificación a otro, el organismo
de certificación al que se transfiera la certificación
debe contar con un proceso para obtener suficiente

a.c.
ISO/IEC 27006:
2015
información a fin de tomar una decisión sobre la

certificación.
NOTA Los esquemas de certificación pueden tener reglas
específicas con respecto a la transferencia de la
certificación.
9.6 Mantenimiento de la certificación
9.6 El organismo de certificación debe tomar la decisión
de renovar la certificación basándose en los
resultados de la auditoría de renovación, al igual que
en los resultados de la revisión del
9.6 Mantenimiento de la certificación
9.6.1 Generalidades
9.6.1 El organismo de certificación debe mantener la
certificación con base en la demostración de que el
cliente continúa cumpliendo los requisitos de la
norma de sistema de gestión. Se puede mantener la
certificación de un cliente con base en una
conclusión positiva formulada por el líder del equipo
auditor,
sin una decisión y revisión independiente posterior,
siempre que:
a) para cualquier no conformidad mayor u otra
situación que pueda llevar a suspender o retirar la
certificación, el organismo de certificación tenga un
sistema que requiera que el líder del equipo auditor
informe al organismo de certificación sobre la
necesidad de iniciar una revisión por personal
competente (véase el apartado 7.2.8) y diferente de
aquel que llevó a cabo la auditoría, con el fin de
determinar si se puede mantener la certificación, y;
b) personal competente del organismo de
certificación realice seguimiento de sus actividades
de seguimiento, incluido el seguimiento de los
informes de sus auditores, con el fin de confirmar que
la actividad de certificación funciona de manera
eficaz.
9.6.2 Actividades de vigilancia
9.6.2.1.1 El organismo de certificación debe desarrollar sus
actividades de vigilancia de manera que se realice el
seguimiento de forma regular de las áreas y
funciones representativas cubiertas por el alcance
del sistema de gestión, y se tengan en cuenta los
cambios en su cliente certificado y en su sistema de
gestión.
9.6.2.1.1 Surveillance audit procedures shall be consistent with those
ISO/IEC concerning the certification audit of the client’s ISMS as described
27006: 2015 in this International Standard.
The purpose of surveillance is to verify that the approved ISMS
continues to be implemented, to consider the implications of
changes to that system initiated as a result of changes in the
client’s operation and to confirm continued compliance with
certification requirements. Surveillance audit programmes shall
cover at least:
a) the system maintenance elements such as information security
risk assessment and control

a.c.
ISO/IEC 27006:
2015
maintenance, internal ISMS audit, management review and

corrective action;
b) communications from external parties as required by the ISMS
standard ISO/IEC 27001 and other
documents required for certification;
c) changes to the documented system;
d) areas subject to change;
e) selected requirements of ISO/IEC 27001;
f) other selected areas as appropriate.
9.6.2.1.2 Las actividades de vigilancia deben incluir auditorías
in situ del cumplimiento de requisitos especificados
del sistema de gestión del cliente certificado con
respecto a la norma con base en la cual se otorga la
certificación. Otras actividades de vigilancia pueden
incluir:
a) solicitudes de información del organismo de
certificación al cliente certificado sobre aspectos
relativos a la certificación;
b) la revisión de cualquier declaración del cliente
certificado, con relación a sus operaciones (por
ejemplo, material promocional, sitios en internet);
c) solicitud al cliente certificado para que proporcione
información documentada (en papel o en medios
electrónicos); y
d) otros medios de seguimiento del desempeño del
cliente certificado
9.6.2.1.2 As a minimum, every surveillance by the certification body shall
ISO/IEC review the following:
27006: 2015 a) the effectiveness of the ISMS with regard to achieving the
objectives of the client’s information security policy;
b) the functioning of procedures for the periodic evaluation and
review of compliance with relevant information security legislation
and regulations;
c) changes to the controls determined, and resulting changes to the
SoA;
d) implementation and effectiveness of controls according to the
audit programme.
9.6.2.1.3 The certification body shall be able to adapt its surveillance
ISO/IEC programme to the information security issues related to risks and
27006: 2015 impacts on the client and justify this programme. Surveillance
audits may be combined with audits of other management systems.
The reporting shall clearly indicate the aspects relevant to each
management system.
During surveillance audits, certification bodies shall check the
records of appeals and complaints brought before the certification
body and, where any nonconformity or failure to meet the
requirements of certification is revealed, that the client has
investigated its own ISMS and procedures and taken
appropriate corrective action.
A surveillance report shall contain, in particular, information on
clearing of nonconformities revealed previously and the version of
the SoA and important changes from the previous audit. As a
minimum, the reports arising from surveillance shall build up to
cover in totality the requirements of 9.6.2.1.1 and 9.6.2.1.2 above.
9.6.2.2 Auditoría de seguimiento
9.6.2.2 Las auditorías de seguimiento son auditorías in situ,
pero no son necesariamente auditorías de todo el
sistema y deben planificarse junto con las otras
actividades de vigilancia, de manera que el
organismo de certificación pueda confiar en que el
sistema de gestión certificado del cliente continúa
cumpliendo los requisitos entre las auditorías de

a.c.
ISO/IEC 27006:
2015
renovación de la certificación. Cada vigilancia para la

norma de sistema de gestión pertinente debe incluir:
a) las auditorías internas y la revisión por la dirección;
b) una revisión de las acciones tomadas sobre las no
conformidades identificadas durante la auditoría
previa;
c) el tratamiento de las quejas;
d) la eficacia del sistema de gestión en relación con
el logro de los objetivos del cliente certificado y los
resultados previstos del sistema (o sistemas) de
gestión respectivos;
e) el progreso de las actividades planificadas
dirigidas a la mejora continua;
f) la continuidad en el control operacional;
g) la revisión de cualquier cambio; y
h) la utilización de marcas y/o cualquier otra
referencia a la certificación.
Nota a la versión en español: En algunos países las
“auditorías de seguimiento” se denominan “auditorías
de vigilancia”.
9.6.3 Renovación de la certificación
9.6.3.1 Planificación de la auditoría de renovación
9.6.3.1 Re-certification audits
ISO/IEC Re-certification audit procedures shall be consistent with those
27006: 2015 concerning the initial certification audit of the client’s ISMS as
described in this International Standard.
The time allowed to implement corrective action shall be consistent
with the severity of the nonconformity and the associated
information security risk.
9.6.3.1.1 El propósito de la auditoría de renovación es
confirmar la conformidad y eficacia continuas del
sistema de gestión en su conjunto, así como su
pertinencia y aplicabilidad continuas para el alcance
de la certificación. Una auditoría de renovación se
debe planificar y llevar a cabo para evaluar el
cumplimiento continuo de todos los requisitos de la
norma del sistema de gestión pertinente u otro
documento normativo. Esto debe planificarse y
llevarse a cabo en el tiempo apropiado para permitir
la renovación oportuna antes de la fecha de
caducidad del certificado.
9.6.3.1.2 La actividad de renovación debe incluir la revisión de
los informes de auditoría de seguimiento previos, y
considerar el desempeño del sistema de gestión en
el ciclo de certificación más reciente.
9.6.3.1.3 Puede ser necesario que las actividades de la
auditoría de renovación incluyan una etapa 1, en
situaciones en las que se hayan producido cambios
significativos en el sistema de gestión, la
organización o el contexto en el que opera el sistema
de gestión (por ejemplo, cambios en la legislación).
NOTA Tales cambios pueden ocurrir en cualquier
momento durante el ciclo de certificación y es probable
que el organismo de certificación deba realizar una
auditoría especial (véase el apartado 9.6.4), que podría ser
o no una auditoría de etapa 2.

a.c.
ISO/IEC 27006:
2015
9.6.3.2 Auditoría de renovación de la certificación

9.6.3.2.1 La auditoría de renovación de la certificación debe
incluir una auditoría in situ que trate lo siguiente:
a) la eficacia del sistema de gestión en su totalidad,
a la vista de los cambios internos y externos, y su
pertinencia y aplicabilidad continuas para el alcance
de la certificación;
b) el compromiso demostrado para mantener la
eficacia y la mejora del sistema de gestión con el fin
de reforzar el desempeño global;
c) la eficacia del sistema de gestión en relación con
el logro de los objetivos del cliente certificado y los
resultados previstos del sistema (o sistemas) de
gestión respectivos.
9.6.3.2.2 Para todas las no conformidad mayores, el
organismo de certificación debe fijar plazos parala
implementación de correcciones y de acciones
correctivas. Estas acciones se deben implementar y
verificar antes de la expiración de la certificación.
9.6.3.2.3 Cuando se completen exitosamente las actividades
de renovación de la certificación antes de
la expiración de la certificación existente, la fecha de
expiración de la nueva certificación puede basarse
en la fecha de expiración de la certificación existente.
La fecha de emisión de un nuevo certificado debe ser
la fecha de la decisión de la renovación o una
posterior.
9.6.3.2.4 Si el organismo de certificación no ha completado la
auditoría de renovación o el organismo de
certificación no puede verificar la implementación de
las correcciones y acciones correctivas para
cualquier no conformidad mayor (véase 9.5.2.1)
antes de la fecha de expiración de la certificación,
entonces no se debe recomendar la renovación de la
certificación y no se debe extender la validez de la
certificación. Se debe informar esto al cliente y
explicarle las consecuencias.
9.6.3.2.5 Después de la expiración de la certificación, el
organismo de certificación puede restaurar la
certificación dentro de los 6 meses siguientes,
siempre y cuando se hayan completado las
actividades de renovación de la certificación
pendientes; de otro modo, se debe realizar mínimo
una etapa 2. La fecha de vigencia del certificado
debe ser la fecha de la decisión de la nueva
certificación o una posterior, y la fecha de expiración
se debe basar en el ciclo de certificación anterior.
9.6.4 Auditorías especiales
9.6.4.1 Ampliación del alcance
9.6.4.1 El organismo de certificación debe, en respuesta a
una solicitud de ampliación del alcance de una
certificación ya otorgada, realizar una revisión de la
solicitud y determinar cualquier actividad de auditoría
necesaria para decidir si se otorga o no la ampliación.

a.c.
ISO/IEC 27006:
2015
Ésta se puede realizar conjuntamente con una

auditoría de seguimiento.
9.6.4.1 Special cases
ISO/IEC The activities necessary to perform special audits shall be subject
27006: 2015 to special provision if a client with a certified ISMS makes major
modifications to its system or if other changes take place which
could affect the basis of its certification.
9.6.4.2 Auditorías con notificación a corto plazo
9.6.4.2 El organismo de certificación puede tener que
realizar auditorías de clientes certificados bajo la
forma de visitas notificadas a corto plazo o sin
anunciar, con el fin de investigar quejas, en
respuesta a cambios, o como seguimiento de clientes
con la certificación suspendida. En estos casos:
a) el organismo de certificación debe describir y
poner en conocimiento de los clientes certificados,
con antelación (por ejemplo, en los documentos
descritos en el apartado 8.5.1), las condiciones en las
que se van a llevar a cabo estas auditorías;
b) el organismo de certificación debe poner un
cuidado muy especial en la designación del equipo
auditor, debido a la imposibilidad, por parte de la
organización auditada, de formular una objeción
sobre los miembros del equipo auditor.
9.6.5 Suspender, retirar o reducir el alcance de la certificación
9.6.5.1 El organismo de certificación debe tener una política
y procedimientos documentados para suspender,
retirar o reducir el alcance de la certificación, y debe
definir las acciones que debe tomar en
consecuencia.
9.6.5.2 El organismo de certificación debe suspender la
certificación cuando, por ejemplo:
— el sistema de gestión certificado del cliente ha
dejado de cumplir de forma persistente o grave los
requisitos de la certificación, incluidos los requisitos
relativos a la eficacia del sistema de gestión;
— el cliente certificado no permite la realización de
las auditorías de seguimiento o de renovación con la
periodicidad requerida, o;
— el cliente certificado haya pedido voluntariamente
una suspensión.
9.6.5.3 En el caso de una suspensión, la certificación del
sistema de gestión del cliente se invalida
temporalmente.
9.6.5.4 El organismo de certificación debe restaurar la
certificación suspendida si la cuestión que dio origen
a la suspensión ya se resolvió. Cuando no se
resuelvan los problemas que dieron lugar a la
suspensión en el plazo establecido por el organismo
de certificación, se debe retirar o reducir el alcance
de la certificación.
NOTA En la mayoría de los casos, la suspensión no
debería superar los 6 meses.
9.6.5.5 El organismo de certificación debe reducir el alcance
de la certificación para excluir las partes que no
cumplen con los requisitos, cuando el cliente

a.c.
ISO/IEC 27006:
2015
certificado haya dejado de cumplir de forma

persistente o grave los requisitos de la certificación
para esas partes del alcance de la certificación.
Cualquier reducción del alcance debe estar en línea
con los requisitos de la norma utilizada para la
certificación.
9.7 Apelaciones
documentado para recibir, evaluar y tomar
decisiones relativas a las apelaciones.
9.7.2 El organismo de certificación debe ser responsable
de todas las decisiones tomadas a todos los niveles
del proceso para el tratamiento de apelaciones. El
organismo de certificación debe asegurarse de que
las personas involucradas con el proceso para el
tratamiento de las apelaciones sean diferentes de las
que llevaron a cabo las auditorías y tomaron las
decisiones de certificación.
9.7.3 La presentación, la investigación y la decisión relativa
a las apelaciones no deben dar lugar a acciones
discriminatorias contra quien apela.
9.7.4 El proceso para el tratamiento de las apelaciones
debe incluir al menos los elementos y métodos
siguientes:
a) una descripción del proceso de recepción,
validación e investigación de la apelación, así como
para decidir qué acciones se tomarán en respuesta a
ella, teniendo en cuenta los resultados de
apelaciones similares previas;
b) el seguimiento y registro de las apelaciones,
incluidas las acciones tomadas para resolverlas;
c) asegurarse de que se han realizado las
correcciones y las acciones correctivas apropiadas.
9.7.5 El organismo de certificación que recibe la apelación
debe ser responsable de reunir y verificar toda la
información necesaria para validar la apelación.
9.7.6 El organismo de certificación debe acusar recibo de
la apelación y debe proporcionar al apelante los
informes de avance y el resultado de la apelación.
9.7.7 La decisión que se va a comunicar a quien presenta
la apelación debe hacerla o revisarla y aprobarla una
o más personas que no hayan estado involucradas
previamente en el objeto de la apelación.
9.7.8 El organismo de certificación debe notificar
formalmente al apelante la finalización del proceso
para el tratamiento de la apelación.
9.8 Quejas
9.8.1 El organismo de certificación debe ser responsable
de todas las decisiones tomadas a todos los niveles
del proceso para el tratamiento de las quejas.
9.8.1 Complaints
ISO/IEC Complaints represent a potential incident and an indication
27006: 2015
to possible nonconformity.

a.c.
ISO/IEC 27006:
2015
9.8.2 La presentación, la investigación y la decisión relativa

a las quejas no debe dar lugar a acciones
discriminatorias contra quien presenta la apelación.
9.8.3 A partir de la recepción de una queja, el organismo
de certificación debe confirmar si la queja se refiere
a las actividades de certificación de las que es
responsable, y en caso afirmativo, debe tratarla. Si la
queja concierne a un cliente certificado, al examinar
la queja se debe considerar la eficacia del sistema
de gestión certificado.
9.8.4 El organismo de certificación también debe remitir
toda queja válida relativa a un cliente certificado a
dicho cliente en un plazo oportuno.
documentado para recibir, evaluar y tomar
decisiones sobre las quejas. Este proceso debe estar
sujeto a los requisitos de confidencialidad, en la
medida en que esté asociada al reclamante y al
objeto de la queja.
9.8.6 El proceso para el tratamiento de quejas debe incluir,
al menos, los elementos y métodos siguientes:
a) una descripción del proceso de recepción,
validación e investigación de la queja, así como para
decidir qué acciones se tomarán en respuesta a ella;
b) el seguimiento y registro de las quejas, incluidas
las acciones tomadas para resolverlas;
c) asegurarse de que se han tomado todas las
correcciones y las acciones correctivas apropiadas.
NOTA La Norma ISO 10002 proporciona orientación para
el tratamiento de las quejas.
9.8.7 El organismo de certificación que recibe la queja
debe ser responsable de reunir y verificar toda la
información necesaria para validar la queja.
9.8.8 En la medida de posible, el organismo de
certificación debe acusar recibo de la queja y debe
proporcionar al reclamante los informes de avance y
el resultado.
9.8.9 La decisión que se va a comunicar al reclamante
debe hacerla, o revisarla y aprobarla una o más
personas que no hayan estado involucradas
previamente en el objeto de la queja.
9.8.10 En la medida de lo posible, el organismo de
certificación debe notificar formalmente al reclamante
la finalización del proceso para el tratamiento de la
queja.
9.8.11 El organismo de certificación debe determinar, junto
con el cliente certificado y el reclamante, si debe
hacer público el tema de la queja y su resolución, y si
fuera así, en qué medida.
9.9 Registros relativos a los clientes
9.9.1 El organismo de certificación debe mantener los
registros relativos a la actividad de auditoría y otras
actividades de certificación de todos los clientes,
incluidas todas las organizaciones que presentaron
solicitudes, así como todas las organizaciones

a.c.
ISO/IEC 27006:
2015
auditadas, certificadas o a las que se le suspendió o

retiró la certificación.
9.9.2 Los registros relativos a los clientes certificados
deben incluir lo siguiente:
a) la información relativa a la solicitud y los informes
de auditoría inicial, de seguimiento y de renovación;
b) el acuerdo de certificación;
c) la justificación de la metodología utilizada para el
muestreo de sitios, según sea apropiado;
NOTA La metodología del muestreo incluye el
muestreo empleado para auditar el sistema de
gestión específico y/o para seleccionar sitios en el
contexto de auditorías multisitio.
d) la justificación para la determinación del tiempo
asignado a los auditores (véase el apartado 9.1.4);
e) la verificación de las correcciones y acciones
correctivas;
f) los registros de las quejas y apelaciones, y toda
corrección o acción correctiva subsiguiente;
g) las deliberaciones y decisiones del comité, cuando
corresponda;
h) la documentación relativa a las decisiones de
certificación;
i) los documentos de certificación, incluido el alcance
de la certificación con respecto al producto, proceso
o servicio, según corresponda;
j) los registros relacionados que son necesarios para
establecer la credibilidad de la certificación, tales
como evidencia de la competencia de los auditores y
expertos técnicos;
k) los programas de auditoría.
9.9.3 El organismo de certificación debe conservar los
registros relativos a los solicitantes y clientes de
forma segura, con el fin de asegurar que la
información se mantenga confidencial. Los registros
deben transportarse, transmitirse o transferirse de
forma que se asegure el mantenimiento de la
confidencialidad.
9.9.4 El organismo de certificación debe tener una política
y procedimientos documentados sobre la
conservación de los registros. Los registros de los
clientes certificados actuales y anteriores deben
conservarse durante el tiempo que dure el ciclo en
curso, más un ciclo completo de certificación.
NOTA En algunos lugares, la legislación establece que los
registros tienen que mantenerse por un período de tiempo
mayor.

a.c.
REQUISITOS GENERALES DE CUMPLIMIENTO PARA SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27006)

LOS SIGUIENTES REQUISITOS DEBEN SER EVALUADOS POR EL EVALUADOR LÍDER

ISO/IEC 27006:
2015
5.2 GESTION DE LA IMPARCIALIDAD

5.2.1 Se deben realizar las actividades devaluación de la
conformidad de manera imparcial. El organismo de
certificación debe ser responsable de la
imparcialidad de sus actividades de evaluación de la
conformidad y no deber permitir presiones
comerciales, financieras u otras que comprometan la
imparcialidad.
5.2.1 Conflicts of interest
ISO/IEC CB may carry out the following duties without them being
27006: considered as consultancy or having a potential conflict of
2015 interest
ANEXO I
Requisito 7 de la norma ISO/IEC 17021-1:2015

Tabla resumen del personal evaluado (Debe ser llenado por el evaluador o experto):
Nombre del
auditor, auditor
líder, experto
técnico, etc.
Puesto / Función
Perfil de puesto
establecido por el OC
Formación del
auditor, auditor líder
o experto técnico
Experiencia o
antigüedad del
auditor, auditor líder
o experto técnico
Sector IAF/NACE
(Muestreado)
Prácticas de gestión Describir
de negocios evidencias
presentada
(Cumple Si o No)
Principios, prácticas Describir
y técnicas de evidencias
auditoría presentada
(Cumple Si o No)
En la norma evaluada Describir
evidencias
presentada
(Cumple Si o No)
En los procesos del Describir
OC evidencias
presentada
(Cumple Si o No)

a.c.
Productos, procesos Describir

y organización del evidencias
cliente presentada
(Cumple Si o No)
Notas / Reportes / Describir
Informes evidencias
(Comunicación) presentada
(Cumple Si o No)
Terminología, Describir
principios, prácticas evidencias
y técnicas del presentada
esquema (17021-2, (Cumple Si o No)
17021-3,
ISO 50003, etc.)
Cumplimiento con Describir
MD10 evidencias
presentada
(Cumple Si o No)
Última supervisión Describir
evidencias
presentada y fecha
de la última(s)
supervisión(es)
(Cumple Si o No)
Contrato Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Confidencialidad Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Ética Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Imparcialidad Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Conflicto de interés Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Conclusión (Cumple Si o No)

a.c.
Requisito 9 de la norma ISO/IEC 17021-1:2015

Tabla resumen de expedientes evaluados (Debe ser llenado por el evaluador o experto):
No. de
Identificación del
expediente
Solicitud de
certificación
(Código del
formato)
La solicitud fue
por una
transferencia
de certificado
MD2
Cotización de
certificación
(Código del
formato)
No. de Sitio(s)
MD1
Cuenta con
Sistema de
Gestión
Integrado
MD11
No. de
Personas del
Cliente
No. de
Días/auditor
asignado
MD5
No. de Turnos
Alcance
Sector IAF
Código NACE
ANALISIS DE
COMPETENCIA
y CAPACIDAD
DEL OC
¿Por quien fue
revisada la
competencia y
capacidad del
OC?
COTIZACIÓN
(Código del
formato)
CONTRATO
(Código del
formato)
PROGRAMA
a 3 años
(Código del
formato)

a.c.
ASIGNACIÓN Y
NOTIFICACIÓN
(Código del
formato)
AUDITOR(es) y
Expertos
Técnicos
notificados
PLAN DE
AUDITORÍA
(Código del
formato)
REUNIÓN DE
APERTURA
(Código del
formato)
NOTAS DE
AUDITORÍA
(Código del
formato)
HALLAZGOS
(Registrar el
número de no
conformidades
mayores,
menores y
comentarios)
INFORME DE
AUDITORÍA
(Código del
formato)
REUNIÓN DE
CIERRE
(Código del
formato)
INFORME DE
SEGUIMIENTO
(Si aplica)
DICTAMEN
(Código del
formato)
Personal que
tomó la
decisión
Realizado por:
CERTIFICADO
(Código del
formato)
Periodo de
validez del
certificado
¿Concuerda
alcance del
certificado con
la información
revisada?

a.c.
Cumple el uso
de logo ema e
IAF (si aplica)
CONCLUSIÓN (Cumple Si o No)
OBSERVACIONES:
Documentos que se adjuntan al informe SI NO N/A Comentarios de porque no se adjunta
Notas del experto / listas técnicas

Evaluación del código de ética
IMSS
SAT
Lista de asistencia
______________________________ ______________________________ ______________________________

Nombre del evaluador líder Nombre del evaluador Nombre del Experto Técnico
FIRMA FIRMA FIRMA
Fecha:___________ Fecha:___________ Fecha:___________

For Oc 059 - Sgsi

Cargado por

Copyright:

Formatos disponibles

For Oc 059 - Sgsi

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

For Oc 059 - Sgsi

Cargado por

Copyright:

Formatos disponibles

entidad mexicana de acreditación,

Nombre del OC:

7 REQUISITOS RELATIVOS A LOS RECURSOS

C: cumple, NC: No cumple, N/A: No aplica Página 1 de 40 FOR-OC-059-00

el contexto del alcance de la norma de sistema de gestión.

C: cumple, NC: No cumple, N/A: No aplica Página 2 de 40 FOR-OC-059-00

NOTA 1 En el Anexo B se describen varios métodos de

C: cumple, NC: No cumple, N/A: No aplica Página 3 de 40 FOR-OC-059-00

7.2.5 El organismo de certificación debe tener un proceso

C: cumple, NC: No cumple, N/A: No aplica Página 4 de 40 FOR-OC-059-00

los procesos normales de certificación,

C: cumple, NC: No cumple, N/A: No aplica Página 5 de 40 FOR-OC-059-00

b) asegurarse de que el organismo que proporciona

C: cumple, NC: No cumple, N/A: No aplica Página 6 de 40 FOR-OC-059-00

The certification body shall determine whether the ISMS

C: cumple, NC: No cumple, N/A: No aplica Página 7 de 40 FOR-OC-059-00

certificación (idioma, condiciones de seguridad,

C: cumple, NC: No cumple, N/A: No aplica Página 8 de 40 FOR-OC-059-00

— los datos del desempeño de la organización (por

C: cumple, NC: No cumple, N/A: No aplica Página 9 de 40 FOR-OC-059-00

Certification bodies shall ensure that the client’s information

C: cumple, NC: No cumple, N/A: No aplica Página 10 de 40 FOR-OC-059-00

ejemplo ISO/TS 22003 o ISO/IEC 27006, se deben

C: cumple, NC: No cumple, N/A: No aplica Página 11 de 40 FOR-OC-059-00

c) A representative sample is selected from all sites within the

C: cumple, NC: No cumple, N/A: No aplica Página 12 de 40 FOR-OC-059-00

c) la determinación de la eficacia del sistema de

C: cumple, NC: No cumple, N/A: No aplica Página 13 de 40 FOR-OC-059-00

d) los requisitos de la certificación (incluidos todos los

The team shall:

C: cumple, NC: No cumple, N/A: No aplica Página 14 de 40 FOR-OC-059-00

9.2.2.2.1 La presencia y la justificación de observadores

C: cumple, NC: No cumple, N/A: No aplica Página 15 de 40 FOR-OC-059-00

9.2.3.2 El plan de auditoría debe ser apropiado para los

C: cumple, NC: No cumple, N/A: No aplica Página 16 de 40 FOR-OC-059-00

antecedentes de cada miembro del equipo auditor,

C: cumple, NC: No cumple, N/A: No aplica Página 17 de 40 FOR-OC-059-00

—los niveles de controles establecidos

C: cumple, NC: No cumple, N/A: No aplica Página 18 de 40 FOR-OC-059-00

1, o una parte de ella. Se debe informar al cliente que

C: cumple, NC: No cumple, N/A: No aplica Página 19 de 40 FOR-OC-059-00

a) the initial certification audit of a client’s ISMS, in

C: cumple, NC: No cumple, N/A: No aplica Página 20 de 40 FOR-OC-059-00

The certification body shall also establish whether the

C: cumple, NC: No cumple, N/A: No aplica Página 21 de 40 FOR-OC-059-00

b) observations made, both positive (e.g. noteworthy

C: cumple, NC: No cumple, N/A: No aplica Página 22 de 40 FOR-OC-059-00

9.4.5.3 Un hallazgo de no conformidad debe registrarse con

C: cumple, NC: No cumple, N/A: No aplica Página 23 de 40 FOR-OC-059-00

información, lo que introduce, de hecho, un elemento

C: cumple, NC: No cumple, N/A: No aplica Página 24 de 40 FOR-OC-059-00

i) la identificación del líder del equipo auditor, los

C: cumple, NC: No cumple, N/A: No aplica Página 25 de 40 FOR-OC-059-00

se le debe informar si se necesitará una auditoría

C: cumple, NC: No cumple, N/A: No aplica Página 26 de 40 FOR-OC-059-00

NOTA En el caso de organismos de certificación

C: cumple, NC: No cumple, N/A: No aplica Página 27 de 40 FOR-OC-059-00

información a fin de tomar una decisión sobre la

__