Com en qualsevol altre marc de gestió del compliment, les auditories són una part essencial dels processos de revisió i millora contínua.

En quan a seguretat de la Informació, destaquem dos tipus d’auditories:

• Auditories de bones pràctiques en Seguretat de la Informació
• Auditories de cumpliment legal i regulatori en Seguretat de la Informació

En la realització de les auditories de bones pràctiques és habitual l’ús de marques de referència o frameworks, mitjançant els quals contrastarem l’estat de la nostra organització respecte als controls de seguretat definits. Aquestes marques es caracteritzen per cobrir cada aspecte que pugui comprometre els actius de l’entitat. Algunes de les marques de referència són:

• International Organization for Standarization (ISO 27000)
• National Institue of Standards and Technology (NIST)
• Esquema Nacional de Seguretat

En la realització de les auditories de compliment legal i regulatori, s’avalua el compliment de les lleis i reglaments relacionats amb la seguretat. Algunes de les més importants són:

• Llei Orgànica de Protecció de Dates de Caràcter Personal (LOPD)
• Reglament General de Protecció de Dades (RGPD)
• Llei de Serveis de la Seguretat de la Informació (LSSICE)
• Esquema Nacional de Seguretat
• Llei de Protecció d’Infraestructures Crítiques (PIC)
• Llei de Prevenció de Riscos Laborals (LPRL)

Els dos tipus d’auditoria s’aborden des del vessant legal però també des del vessant tècnic. Per aquest motiu comptem amb un equip multidisciplinar format per professionals especialitzats en dret i en tecnologies de la informació.