ISO/IEC 27006:2015

Anexo C
(Informativo)

Métodos para el cálculo del tiempo de la auditoría

C.1 Generalidades

Este Anexo proporciona nuevas orientaciones para derivar en una formula para el cálculo del tiempo
de la auditoría. En C.2 se da un ejemplo de la clasificación de los factores que se pueden utilizar como
base para el cálculo del tiempo de la auditoría y C.3 proporciona un ejemplo para el cálculo del tiempo
de la auditoría.

C.2 Clasificación de factores para calcular el tiempo de la auditoría

La Tabla C.1 entrega ejemplos para la clasificación de los principales factores para el cálculo del tiempo
de la auditoría, tal como aparece en B.3.4, a) a h). Esta clasificación puede ser utilizada por los
organismos de certificación para derivar un esquema de cálculo del tiempo de la auditoría de acuerdo
con 9.1.4.1:

Tabla C.1 – Clasificación de factores para calcular el tiempo de la auditoría

Impacto en el esfuerzo
Reducción del esfuerzo Esfuerzo normal Aumento del esfuerzo
Factores
a) Complejidad del SGSI - Poca información sensible - Requisitos de una mayor - Mayor cantidad de
- Requisitos de seguridad o confidencial, requisitos disponibilidad o información sensible o
de la información (CID) de disponibilidad bajos información sensible / confidencial (por ejemplo,
- Numero de activos - Pocos activos críticos en confidencial salud, información de
críticos términos de CID - Algunos activos críticos identificación personal,
- Numero de procesos y - Proceso de negocio clave - 2-3 procesos de negocio seguros o banca) o
servicios único, con pocas sencillos, con pocas requisitos de alta
interfaces y pocas interfaces y algunas disponibilidad
unidades de negocios unidades de negocio - Muchos activos críticos
involucradas involucradas - Más de 2 procesos
complejos, con muchas
interfaces y unidades de
negocio involucradas.
b) Tipos de negocio que se - Bajo riesgo del negocio sin - Altos requisitos - Alto riesgo del negocio
llevan a cabo dentro del los requisitos regulatorios regulatorios con solo requisitos
alcance del SGSI regulatorios limitados.
(continúa)
ISO/IEC 27006:2015

Tabla C.1 – Clasificación de factores para calcular el tiempo de la auditoría (continuación)

Impacto en el esfuerzo
Reducción del esfuerzo Esfuerzo normal Aumento del esfuerzo
Factores
c) Rendimiento - Recientemente certificado - Auditoría reciente de - Sin certificación y sin
previamente demostrado - No certificado, pero SGSI seguimiento auditorías recientes.
del SGSI implementado plenamente - No certificado, pero SGSI - SGSI nuevo y no se ha
a través de varios ciclos implementado instituido plenamente
de auditoría y mejora parcialmente: algunas (por ejemplo, falta de
incluyendo auditorías herramientas del sistema mecanismos de control
internas, documentadas, de gestión disponibles e específicos del sistema
revisiones de la gestión y implementadas; algunos de gestión, procesos de
sistema de mejora procesos de mejora mejora continua
continua efectiva. continua están aplicados, inmaduros, procesos de
pero parcialmente ejecución ad hoc)
documentados.
d) Alcance y diversidad de - Entorno altamente - Estandarizado, pero - Alta diversidad o
la tecnología utilizada en la estandarizado con baja diversas plataformas IT, complejidad IT (por
ejecución de los diversos diversidad (pocas servidores, sistemas ejemplo, muchos
componentes del SGSI plataformas IT, servidores, operativos bases de datos, segmentos diferentes de
(por ejemplo, el número de sistemas operativos, redes red, tipos de servidores o
las diferentes plataformas bases de datos, redes, bases de datos, número
IT, numero de redes etc.) de aplicaciones clave)
segregadas)
e) Alcance de la - Sin externalización y poca - Varios acuerdos de - Alta dependencia con la
externalización y dependencia de subcontratación subcontratación o
disposiciones de terceros proveedores administrados proveedores con un gran
utilizadas dentro del - Modalidad de parcialmente impacto en las
alcance del SGSI externalización bien actividades comerciales
definida y controlada importantes
- Expresa externa tiene - Cantidad desconocida o
SGSI certificado extensión de la
- Disponibles informes de subcontratación
calidad independientes - Varios acuerdos de
pertinentes subcontratación no
administrados.
f) Grado de desarrollo del - Sin desarrollo de sistemas - Uso de plataformas de - Numerosas actividades
sistema de información propios software estandarizadas de desarrollo de software
- Uso de plataformas de con una internas con varios
software autorizadas conjuración/parametrizació proyectos en curso para
n compleja objetivos comerciales
- Software (altamente) importantes
personalizado
- Algunas actividades de
desarrollo (propias o
subcontratadas)
g) Número de sitios y - Bajos requisitos de - Medios o altos requisitos - Requisitos de alta
numero de sitios de disponibilidad y una o de disponibilidad y una o disponibilidad, por
recuperación de desastres ninguna alternativa de un ninguna alternativa de un ejemplo, servicios 24/7
(DR) sitio DR sitio DR - Varios sitios DR
alternativos
- Varios centros de datos
(continúa)
 ISO/IEC 27006:2015

Tabla C.1 – Clasificación de factores para calcular el tiempo de la auditoría (conclusión)

Impacto en el esfuerzo
Reducción del esfuerzo Esfuerzo normal Aumento del esfuerzo
Factores
h) Para auditoria de - No hay cambios desde la - Cambios menores en el - Grandes cambios en el
seguimiento o última auditoria de alcance o Declaración de alcance o la Declaración
recertificación; La cantidad recertificación Aplicabilidad del SGSI, de Aplicabilidad del SGSI,
y la magnitud de los por ejemplo, algunas por ejemplo, nuevos
cambios relevantes para el políticas, documentos, procesos, nuevas
SGSI de acuerdo con etc. unidades de negocio,
ISO/IEC 17021-1 8.5.3 - Cambios menores en los áreas, metodología de
factores anteriores evaluación de riesgos de
gestión, políticas,
documentación,
tratamiento de riesgos
- Grandes cambios en los
factores mencionados

C.3 Ejemplo para el cálculo del tiempo de la auditoría

El siguiente ejemplo ilustra cómo un organismo certificador puede utilizar los factores provistos en B.3
para calcular el tiempo de la auditoría. El cálculo del tiempo de la auditoría en el siguiente ejemplo
funciona de la siguiente manera:

Paso 1: Determinar los factores relacionados con el negocio y la organización (que no sea IT): Identificar
el grado apropiado para cada una de las categorías que figuran en Tabla C.2 y resumir los resultados.

Paso 2: Determinar los factores relacionados con el entorno IT: identificar el grado apropiado para cada
una de las categorías que figuran en la tabla C.3 y resumir los resultados.

Paso 3: En base a los resultados de los pasos 1 y 2 anteriores, identificar el impacto de los factores de
tiempo de la auditoría mediante la selección de la entrada correspondiente en Tabla C.4.

Paso 4: Cálculo final: El número de días determinados por la aplicación de la tabla de tiempo de la
auditoría (Tabla B.1) se multiplica por el factor resultante de la Etapa 3. Cuando se utiliza el muestreo
de múltiples sitios, los días de auditoria calculados se incrementan en base a los esfuerzos necesarios
para ejecutar el plan de muestreo de múltiples sitios.

Este resultado es el número final de días de la auditoría.

Tabla C.2 - Factores relacionados con la empresa y la organización (que no sea IT)

Categoría Grado
Tipo(s) de requisitos del negocio y 1. La organización se desarrolla en sectores de actividad no críticos y
regulatorios sectores no reguladosa
2. La organización tiene clientes en los sectores del negocio críticos a
3. La organización se desarrolla en sectores del negocio críticos a
Procesos y tareas 1. Procesos estándar con tareas estándar y repetitivas; muchas personas
que prestan servicios bajo el control de la organización que llevan a
cabo las mismas tareas; pocos productos o servicios
2. Procesos estándar, pero no repetitivos, con un alto número de
productos o servicios
3. Procesos complejos, gran número de productos y servicios, muchas
unidades de negocio incluidas en el alcance de la certificación (SGSI
cubre los procesos de alta complejidad o números relativamente altos
o actividades únicas)
Nivel de implementación del SGSI 1. El SGSI ya está bien establecido y/o están implementados otros
sistemas de gestión
2. Algunos elementos de otros sistemas de gestión ya están
implementados
3. No se han implementado otros sistemas de gestión, el SGSI es nuevo
y no se ha implementado
a Los sectores del negocio críticos son solo sectores que pueden afectar los servicios públicos críticos que causarán riesgo

para la salud, la seguridad, la economía, la imagen, la capacidad de gobierno de funcionar, que pueden tener un gran
impacto negativo en el país.

Tabla C.3 - Factores relacionados con el entorno IT

Categoría Grado
Complejidad de la infraestructura IT 1. Pocas plataformas, servidores, sistemas operativos, bases de datos, redes,
etc., o altamente estandarizadas.
2. Varias plataformas, servidores, sistemas operativos, bases de datos, redes.
3. Muchas plataformas, servidores, sistemas operativos, bases de datos redes.
Dependencia de la subcontratación y 1. Poca o ninguna dependencia de la subcontratación o de los proveedores.
de los proveedores, incluidos los 2. Dependencia media de la subcontratación o de los proveedores, en relación con
servicios en la nube alguna (no todas= actividades de negocios importantes.
3. Alta dependencia de la externalización o de los proveedores, gran impacto en
las actividades de negocios importantes.
Desarrollo del sistema de información 1. Sin desarrollo de sistema/aplicación propia, o muy limitada.
2. Algunos desarrollos de sistema /aplicación propias o externalizadas para
algunos fines comerciales importantes.
3. Muchos desarrollos de sistema/aplicación propias o externalizadas para fines
comerciales importantes.
 ISO/IEC 27006:2016

Tabla C.4 - Impacto de los factores en el tiempo de la auditoría

Complejidad IT
Baja (3-4) Media (5-6) Alta (7-9)
Complejidad del negocio Alta (7-9) +5% a +20% +10% a +50% +20% a +100%
Media (5-6) -5% a -10% 0% +10% a +50%
Baja (3-4) -10% a 30% -5% a -10% +5% a +20%

EJEMPLO 1 La organización a ser auditada tiene 700 empleados, por lo tanto, de acuerdo a la Tabla
B.1, se requieren 17,5 días para la auditoría inicial. La organización no funciona en un sector crítico del
negocio, realiza tareas estandarizadas y repetitivas, y acaba de establecer el SGSI. De acuerdo con
Tabla C.2, llevaría a un factor relacionado con los negocios y la organización de 1 + 1 +3 = 5. La
organización cuenta con muy pocas plataformas IT y bases de datos, pero utiliza ampliamente la
externalización. No hay desarrollo propio de la organización o subcontratado. De acuerdo con Tabla
C.3, produciría un factor relacionado con el entorno IT de 1 + 3 + 1 = 5. Usando Tabla C.4, no se
produciría ningún ajuste para el tiempo de auditoría.

EJEMPLO 2 La misma organización del ejemplo anterior, con la excepción de que están
implementados varios sistemas de gestión y el SGSI también ya está bien implementado. Esto
cambiaría el cálculo de acuerdo con la Tabla C.2 a 1 + 1 + 1 = 3. Según Tabla C.4, produciría una
disminución entre el 5% y 10% del tiempo de la auditoría, es decir, el tiempo de auditoría se reduciría
en 1 día a 1,3 días dando un total de 16 a 16,5 días.