Auditoría interna · ISO 27001 + ENS

Auditoría interna ISO 27001 y adecuación ENS

La auditoría interna del SGSI a intervalos planificados que exige la cláusula 9.2 de ISO/IEC 27001:2022 puede cubrirse con auditores internos cruzados o con auditor externo subcontratado. La externalización aporta tres ventajas concretas: no sobrecarga al equipo, evita el sesgo de proximidad, y reduce la fricción que generan las auditorías entre compañeros. Step Quality opera esta auditoría con la cualificación de Auditora Líder ISO 27001, experiencia práctica en SGSI corporativos multi-norma y una trayectoria de más de 20 años en sistemas de gestión. La auditoría cubre el SGSI completo —contexto, riesgos, controles del Anexo A, indicadores y registros— para empresas tecnológicas, SaaS y proveedores de la Administración Pública. Cuando aplica, se realiza en paralelo la evaluación previa de adecuación al Esquema Nacional de Seguridad (RD 311/2022). El informe formal y el plan de acciones correctivas se entregan en 1 a 3 días. Respuesta a la solicitud en menos de 48 horas; fecha de auditoría según disponibilidad de agenda.

¿Para quién es este servicio?

La auditoría interna externalizada en seguridad de la información encaja en cualquiera de estos cinco escenarios:

¿Qué incluye el servicio?

Entregables documentados, alineados con el apartado 9.2.2 de ISO/IEC 27001:2022:

Metodología en 3 fases

Una semana natural de calendario, 1 a 3 días de trabajo efectivo. En SGSI, una parte significativa del trabajo es remoto (revisión documental, evidencias técnicas), lo que reduce el coste de desplazamiento para clientes fuera de Madrid:

Día 1
Planificación y revisión documental
Análisis del manual del SGSI, política y objetivos de seguridad, análisis de riesgos, Declaración de Aplicabilidad, informes de auditorías y revisiones por la dirección previas, indicadores de seguridad y registros de incidentes.
Días 1-2
Auditoría en campo y remota
Entrevistas con Responsable de Seguridad, IT, RRHH y áreas operativas. Revisión de evidencias técnicas (configuraciones, logs, accesos, gestión de vulnerabilidades) y organizativas (concienciación, contratos, gestión de proveedores).
Día 2-3
Informe y plan de acción
Informe formal con hallazgos clasificados y soportados por evidencia. Plan de acciones correctivas priorizado por riesgo de seguridad. Reunión de cierre con Comité de Seguridad o Dirección.
Sección dedicada · ENS

Adecuación al Esquema Nacional de Seguridad (RD 311/2022)

El Esquema Nacional de Seguridad es de obligado cumplimiento para Administraciones Públicas y para empresas privadas que les prestan servicios. Su última actualización, el Real Decreto 311/2022, refuerza la categorización por niveles de seguridad (básica, media y alta) y alinea muchos de sus requisitos con la familia ISO 27000.

En la auditoría interna se evalúa:

  • Categorización de los sistemas de información según el Anexo I del RD 311/2022 y dimensiones de seguridad (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad).
  • Cumplimiento de las medidas de seguridad del Anexo II aplicables según la categoría.
  • Declaración de Aplicabilidad ENS y su coherencia con la Declaración de Aplicabilidad ISO 27001 cuando ambos marcos conviven.
  • Política de Seguridad de la Información formalizada conforme al Artículo 11 del Real Decreto.
  • Identificación de responsables ENS (Responsable de la Información, Responsable del Servicio, Responsable de Seguridad, Responsable del Sistema) y trazabilidad de sus decisiones.
  • Auditoría regular ordinaria, con periodicidad mínima bienal en todas las categorías según el Anexo III del RD 311/2022. La diferencia está en el formato: las categorías MEDIA y ALTA requieren auditoría de certificación por entidad acreditada por ENAC; la categoría BÁSICA admite autoevaluación con declaración de conformidad.

Nota importante: la auditoría formal de certificación ENS por entidad acreditada por ENAC es un servicio distinto a esta auditoría interna. El servicio descrito en esta página es la auditoría interna y la preparación a la auditoría externa, alineadas con criterios ENS y aprovechando las sinergias con ISO 27001.

Estándares integrados en la auditoría

Cuando la organización lo requiere, se integra en la misma intervención la evaluación de marcos adyacentes para evitar duplicar esfuerzos:

ISO/IEC 27001:2022 ISO/IEC 27002:2022 ENS · RD 311/2022 NIS2 · marco regulatorio adyacente RGPD · LOPDGDD ISO/IEC 27017 ISO/IEC 27018

Preguntas frecuentes sobre auditoría interna ISO 27001 y ENS

¿Qué exige ISO 27001 en cuanto a auditoría interna? +
El apartado 9.2 de ISO/IEC 27001:2022 exige que la organización lleve a cabo auditorías internas a intervalos planificados para verificar que el Sistema de Gestión de Seguridad de la Información cumple los requisitos de la propia organización, los de la norma y se mantiene implementado de forma eficaz. El auditor debe ser competente, objetivo e imparcial respecto del área auditada.
¿En qué se diferencia ISO 27001 del ENS? +
ISO 27001 es una norma internacional voluntaria de gestión de seguridad de la información, aplicable a cualquier organización. El ENS (Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022) es de obligado cumplimiento para Administraciones Públicas y para proveedores que les prestan servicios. Comparten muchos controles, pero el ENS añade requisitos específicos del marco legal español. Auditarlos en paralelo aprovecha sinergias y reduce esfuerzo de cumplimiento.
¿Una empresa proveedora de la Administración necesita adecuarse al ENS? +
Sí, cuando presta servicios que impliquen acceso, gestión o tratamiento de información de la Administración Pública. La adecuación al ENS es exigible por el órgano contratante y, según la categoría de seguridad (básica, media o alta), puede requerir auditoría externa por entidad acreditada por ENAC. La auditoría interna previa es el paso lógico para llegar preparado.
¿Qué incluye la auditoría interna ISO 27001? +
Revisión del contexto y partes interesadas, del análisis y tratamiento de riesgos, de la Declaración de Aplicabilidad, de los controles del Anexo A implementados, de los registros de operación y de los indicadores del SGSI. Entrega de informe formal con hallazgos clasificados y plan de acciones correctivas priorizado por riesgo y plazo legal o contractual.
¿Cuál es el alcance del servicio ENS dentro de la auditoría? +
En el marco de la auditoría interna ISO 27001, cuando la organización está sujeta a ENS se realiza en paralelo una evaluación previa de adecuación: categorización del sistema según el Anexo I del RD 311/2022, diagnóstico de gap entre la situación actual y los requisitos aplicables, e identificación de las medidas del Anexo II pendientes. El servicio no sustituye la auditoría regular de certificación ENS por entidad acreditada por ENAC, que es obligatoria en categorías media y alta.
¿La cobertura es solo en Madrid o también nacional? +
Base operativa en Madrid, con presencia presencial en radio de 60 km sin coste de desplazamiento. Para el resto del territorio nacional se combina visita presencial con trabajo remoto, especialmente eficaz en auditorías de SGSI donde gran parte de la evidencia es documental y de configuración técnica.

¿Necesitas auditoría interna ISO 27001 o adecuación ENS?

Primera hora de diagnóstico gratuita. Respuesta en menos de 24 horas con un plan de acción concreto y una propuesta económica acotada.

Solicitar diagnóstico gratuito → WhatsApp

Teléfono: 641 473 776 · Email: [email protected]

Servicios relacionados

Auditoría interna en otras normas o servicios complementarios en seguridad de la información:

Ver hub de auditorías → Auditoría interna ISO 9001 → Auditoría interna IATF 16949 → Consultoría ISO 27001 + ENS → Formación seguridad →