Este documento describe el proceso de auditoría de certificación de sistemas de gestión de seguridad de la información. Explica que el objetivo de la auditoría es verificar que la organización ha implantado correctamente los controles de seguridad basados en un análisis de riesgos y de acuerdo con las normas ISO/IEC 27001 y ISO/IEC 17799. El proceso de auditoría consta de dos fases, una auditoría documental para revisar la documentación del sistema, y una auditoría in situ para comprobar la implementación práctica.