{"id":1933,"date":"2026-03-25T17:00:49","date_gmt":"2026-03-25T16:00:49","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/certificacion-iso-27001-que-evidencia-de-ci-cd-requieren-los-auditores\/"},"modified":"2026-03-26T09:23:22","modified_gmt":"2026-03-26T08:23:22","slug":"certificacion-iso-27001-que-evidencia-de-ci-cd-requieren-los-auditores","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/certificacion-iso-27001-que-evidencia-de-ci-cd-requieren-los-auditores\/","title":{"rendered":"Certificaci\u00f3n ISO 27001 \u2014 Qu\u00e9 Evidencia de CI\/CD Requieren los Auditores"},"content":{"rendered":"<h2>Descripci\u00f3n General del Proceso de Auditor\u00eda de Certificaci\u00f3n ISO 27001<\/h2>\n<p>La certificaci\u00f3n ISO 27001 implica una auditor\u00eda externa en dos etapas realizada por un organismo de certificaci\u00f3n acreditado. Comprender este proceso es esencial para los responsables de cumplimiento que preparan entornos CI\/CD para la evaluaci\u00f3n.<\/p>\n<h3>Etapa 1 \u2014 Revisi\u00f3n de Documentaci\u00f3n<\/h3>\n<p>La auditor\u00eda de Etapa 1 es principalmente una revisi\u00f3n documental. El auditor eval\u00faa si la documentaci\u00f3n del SGSI est\u00e1 completa y si la organizaci\u00f3n est\u00e1 preparada para la evaluaci\u00f3n de Etapa 2. Para los entornos CI\/CD, esto implica verificar que:<\/p>\n<ul>\n<li>El alcance del SGSI incluye expl\u00edcitamente la infraestructura y los procesos de los pipelines CI\/CD<\/li>\n<li>La Declaraci\u00f3n de Aplicabilidad (SoA) aborda los controles del Anexo A relevantes para CI\/CD<\/li>\n<li>Las evaluaciones de riesgos cubren escenarios de amenazas espec\u00edficos de CI\/CD<\/li>\n<li>Las pol\u00edticas y procedimientos hacen referencia a los procesos automatizados de desarrollo y despliegue<\/li>\n<li>El programa de auditor\u00eda interna ha cubierto los controles de seguridad de CI\/CD<\/li>\n<\/ul>\n<p><strong>Resultado frecuente de la Etapa 1 para CI\/CD:<\/strong> Los auditores detectan habitualmente que la documentaci\u00f3n del SGSI fue redactada antes de la adopci\u00f3n de CI\/CD y no ha sido actualizada. Esto genera una recomendaci\u00f3n de actualizar la documentaci\u00f3n antes de proceder a la Etapa 2.<\/p>\n<h3>Etapa 2 \u2014 Auditor\u00eda de Evidencia<\/h3>\n<p>La auditor\u00eda de Etapa 2 es donde los auditores examinan <em>evidencia de implementaci\u00f3n y efectividad<\/em>. Para los entornos CI\/CD, esto significa demostrar que los controles documentados est\u00e1n realmente en funcionamiento y producen resultados verificables. Los auditores solicitar\u00e1n artefactos espec\u00edficos, entrevistar\u00e1n al personal responsable de la seguridad del pipeline y podr\u00e1n observar las operaciones del pipeline.<\/p>\n<p>La auditor\u00eda de Etapa 2 generalmente ocurre de cuatro a ocho semanas despu\u00e9s de la Etapa 1, para dar tiempo a subsanar cualquier brecha documental.<\/p>\n<h2>Qu\u00e9 Solicitan los Auditores Durante la Etapa 2 en Entornos CI\/CD<\/h2>\n<p>Los auditores abordan la recopilaci\u00f3n de evidencia de CI\/CD de forma sistem\u00e1tica en los distintos dominios de control. Las siguientes secciones detallan qu\u00e9 se solicita, qu\u00e9 formato es aceptable y cu\u00e1nto tiempo debe retenerse la evidencia.<\/p>\n<h2>Categor\u00edas de Evidencia y Artefactos de CI\/CD<\/h2>\n<h3>1. Documentaci\u00f3n del SGSI<\/h3>\n<p>La base de la auditor\u00eda. Los auditores verifican que el marco del SGSI aborde espec\u00edficamente el CI\/CD.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Declaraci\u00f3n de alcance del SGSI que nombre los sistemas CI\/CD; pol\u00edtica de seguridad de la informaci\u00f3n que haga referencia a los pipelines automatizados; pol\u00edtica de desarrollo seguro; planes de tratamiento de riesgos espec\u00edficos de CI\/CD<\/li>\n<li><strong>Formatos aceptables:<\/strong> Documentos aprobados en el sistema de gesti\u00f3n documental con control de versiones, fechas de revisi\u00f3n y firmas de aprobaci\u00f3n<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Versi\u00f3n actual m\u00e1s al menos la versi\u00f3n anterior; historial de revisiones para el ciclo de certificaci\u00f3n completo (tres a\u00f1os)<\/li>\n<\/ul>\n<h3>2. Registros de Evaluaci\u00f3n de Riesgos<\/h3>\n<p>Los auditores esperan que los riesgos espec\u00edficos de CI\/CD sean identificados, evaluados y tratados.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Entradas del registro de riesgos para el compromiso del pipeline, ataques a la cadena de suministro, exposici\u00f3n de secretos, despliegues no autorizados y manipulaci\u00f3n del entorno de compilaci\u00f3n; planes de tratamiento de riesgos con mapeo de controles; metodolog\u00eda de evaluaci\u00f3n de riesgos que cubra escenarios de amenazas de CI\/CD<\/li>\n<li><strong>Formatos aceptables:<\/strong> Registro de riesgos (hoja de c\u00e1lculo, exportaci\u00f3n de plataforma GRC o formato documentado); informes de evaluaci\u00f3n de riesgos con fechas e identificaci\u00f3n del evaluador<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Registro de riesgos actual m\u00e1s versiones hist\u00f3ricas que muestren la evoluci\u00f3n del riesgo; m\u00ednimo tres a\u00f1os de registros de evaluaci\u00f3n de riesgos<\/li>\n<\/ul>\n<h3>3. Evidencia de Control de Acceso<\/h3>\n<p>Una de las \u00e1reas m\u00e1s examinadas para CI\/CD.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Listados de usuarios de la plataforma de pipeline con asignaciones de roles; inventarios de cuentas de servicio; registros de revisi\u00f3n de accesos que muestren recertificaci\u00f3n peri\u00f3dica; evidencia de aplicaci\u00f3n de autenticaci\u00f3n multifactor; registros de acceso privilegiado para la administraci\u00f3n del pipeline; registros de aprovisionamiento y desaprovisionamiento de acceso<\/li>\n<li><strong>Formatos aceptables:<\/strong> Informes de acceso generados por la plataforma; registros de aprobaci\u00f3n de revisi\u00f3n de accesos; capturas de pantalla de configuraci\u00f3n de autenticaci\u00f3n con marcas de tiempo; flujos de trabajo de solicitud y aprobaci\u00f3n de accesos<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Configuraciones de acceso actuales; registros de revisi\u00f3n de accesos durante al menos 12 meses; registros de cambios de acceso para el ciclo de certificaci\u00f3n completo<\/li>\n<\/ul>\n<h3>4. Registros de Gesti\u00f3n de Cambios<\/h3>\n<p>La funci\u00f3n principal del pipeline \u2014mover cambios a trav\u00e9s de etapas controladas\u2014 debe estar a su vez evidenciada.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Historiales de ejecuci\u00f3n del pipeline que muestren el ciclo de vida completo del cambio; registros de aprobaci\u00f3n para despliegues en producci\u00f3n; registros de cambios de emergencia con revisiones retrospectivas; historial de cambios de configuraci\u00f3n del pipeline (control de versiones de pipeline-as-code); registros de lanzamiento con trazabilidad hasta los cambios aprobados<\/li>\n<li><strong>Formatos aceptables:<\/strong> Registros de auditor\u00eda de la plataforma de pipeline; historial del sistema de control de versiones; registros de flujos de trabajo de aprobaci\u00f3n; actas de reuniones del comit\u00e9 de gesti\u00f3n de cambios (CAB) donde corresponda<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Historial completo de despliegues durante al menos 12 meses; historial de configuraci\u00f3n del pipeline para el ciclo de certificaci\u00f3n completo; registros de cambios de emergencia retenidos para revisi\u00f3n<\/li>\n<\/ul>\n<h3>5. Resultados de Pruebas de Seguridad<\/h3>\n<p>Evidencia de que las pruebas de seguridad est\u00e1n integradas, son obligatorias y son efectivas.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Resultados de an\u00e1lisis est\u00e1tico por ejecuci\u00f3n de pipeline; resultados de escaneo de vulnerabilidades de dependencias; resultados de pruebas de seguridad din\u00e1micas; informes de pruebas de penetraci\u00f3n para la infraestructura del pipeline; tasas de aprobaci\u00f3n\/rechazo de pruebas de seguridad a lo largo del tiempo; registros de fallos de pruebas de seguridad que bloquearon despliegues<\/li>\n<li><strong>Formatos aceptables:<\/strong> Informes de herramientas de seguridad vinculados a ejecuciones espec\u00edficas del pipeline; paneles de an\u00e1lisis de tendencias con datos de respaldo; informes de pruebas de penetraci\u00f3n de testers calificados<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Resultados individuales de escaneo retenidos durante al menos 12 meses; datos de tendencias para el ciclo de certificaci\u00f3n completo; informes de pruebas de penetraci\u00f3n retenidos hasta la pr\u00f3xima evaluaci\u00f3n<\/li>\n<\/ul>\n<h3>6. Registros de Gesti\u00f3n de Incidentes<\/h3>\n<p>Evidencia de que los incidentes de seguridad relacionados con CI\/CD son detectados, atendidos y aprendidos.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Registros de incidentes para cualquier evento de seguridad del pipeline; documentaci\u00f3n de procedimientos de respuesta a incidentes que cubra escenarios CI\/CD; informes de revisi\u00f3n post-incidente; evidencia de simulacros de incidentes o ejercicios de mesa que involucren escenarios de compromiso del pipeline; registros de acciones correctivas<\/li>\n<li><strong>Formatos aceptables:<\/strong> Registros del sistema de gesti\u00f3n de incidentes; documentos de revisi\u00f3n post-incidente; informes de ejercicios de simulacro; registros de seguimiento de acciones correctivas<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Todos los registros de incidentes para el ciclo de certificaci\u00f3n completo (tres a\u00f1os); acciones correctivas rastreadas hasta su cierre<\/li>\n<\/ul>\n<h3>7. Registros de Gesti\u00f3n de Proveedores<\/h3>\n<p>Evidencia de que las dependencias de terceros en CI\/CD est\u00e1n gestionadas y monitoreadas.<\/p>\n<ul>\n<li><strong>Artefactos CI\/CD espec\u00edficos:<\/strong> Registro de proveedores que incluya proveedores de plataformas CI\/CD, proveedores de plugins y proveedores de servicios en la nube; evaluaciones de riesgos de terceros para proveedores de servicios CI\/CD; requisitos contractuales de seguridad; registros de monitoreo de niveles de servicio; inventario de dependencias (SBOM) para componentes del pipeline<\/li>\n<li><strong>Formatos aceptables:<\/strong> Entradas del registro de proveedores; informes de evaluaci\u00f3n de riesgos; extractos de contratos que muestren cl\u00e1usulas de seguridad; actas de reuniones de revisi\u00f3n de servicios; salidas de SBOM en formatos est\u00e1ndar<\/li>\n<li><strong>Requisitos de retenci\u00f3n:<\/strong> Registro de proveedores y contratos actuales; evaluaciones de riesgos actualizadas al menos anualmente; registros de revisi\u00f3n de servicios durante un m\u00ednimo de 12 meses<\/li>\n<\/ul>\n<h2>Tabla Resumen de Evidencia<\/h2>\n<table>\n<thead>\n<tr>\n<th>Tipo de Evidencia<\/th>\n<th>Sistema de Origen<\/th>\n<th>Formato<\/th>\n<th>Retenci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Alcance y pol\u00edticas del SGSI<\/td>\n<td>Sistema de gesti\u00f3n documental<\/td>\n<td>Documentos aprobados con control de versiones<\/td>\n<td>Versi\u00f3n actual + anterior; historial de revisiones de 3 a\u00f1os<\/td>\n<\/tr>\n<tr>\n<td>Registro de riesgos (entradas CI\/CD)<\/td>\n<td>Plataforma GRC o registro de riesgos<\/td>\n<td>Entradas de riesgos estructuradas con fechas de evaluaci\u00f3n<\/td>\n<td>Versi\u00f3n actual + hist\u00f3ricas; 3 a\u00f1os<\/td>\n<\/tr>\n<tr>\n<td>Listados de acceso de usuarios del pipeline<\/td>\n<td>Consola de administraci\u00f3n de la plataforma CI\/CD<\/td>\n<td>Exportaci\u00f3n usuario\/rol con marcas de tiempo<\/td>\n<td>Config actual + registros de cambios de 12 meses<\/td>\n<\/tr>\n<tr>\n<td>Aprobaciones de revisi\u00f3n de accesos<\/td>\n<td>Herramienta de gobernanza de accesos o registros manuales<\/td>\n<td>Registros de revisi\u00f3n con identidad del revisor y fecha<\/td>\n<td>M\u00ednimo 12 meses<\/td>\n<\/tr>\n<tr>\n<td>Trazas de auditor\u00eda de ejecuci\u00f3n del pipeline<\/td>\n<td>Registros de la plataforma CI\/CD<\/td>\n<td>Entradas de registro inmutables por ejecuci\u00f3n<\/td>\n<td>M\u00ednimo 12 meses<\/td>\n<\/tr>\n<tr>\n<td>Registros de aprobaci\u00f3n de despliegue<\/td>\n<td>Plataforma CI\/CD o herramienta de flujo de trabajo<\/td>\n<td>Registros de aprobaci\u00f3n con identidad del aprobador y marca de tiempo<\/td>\n<td>M\u00ednimo 12 meses<\/td>\n<\/tr>\n<tr>\n<td>Historial de configuraci\u00f3n del pipeline<\/td>\n<td>Sistema de control de versiones<\/td>\n<td>Historial de commits para archivos pipeline-as-code<\/td>\n<td>Ciclo de certificaci\u00f3n completo (3 a\u00f1os)<\/td>\n<\/tr>\n<tr>\n<td>Resultados de escaneos de seguridad<\/td>\n<td>Herramientas de pruebas de seguridad integradas en el pipeline<\/td>\n<td>Informes de herramientas vinculados a IDs de ejecuci\u00f3n del pipeline<\/td>\n<td>12 meses individuales; 3 a\u00f1os datos de tendencia<\/td>\n<\/tr>\n<tr>\n<td>Informes de pruebas de penetraci\u00f3n<\/td>\n<td>Proveedor de pruebas calificado<\/td>\n<td>Informe formal con alcance, hallazgos, remediaci\u00f3n<\/td>\n<td>Hasta la pr\u00f3xima evaluaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td>Registros de incidentes<\/td>\n<td>Sistema de gesti\u00f3n de incidentes<\/td>\n<td>Tickets de incidentes con cronolog\u00eda y resoluci\u00f3n<\/td>\n<td>3 a\u00f1os<\/td>\n<\/tr>\n<tr>\n<td>Evaluaciones de riesgos de proveedores<\/td>\n<td>Plataforma GRC o registros manuales<\/td>\n<td>Informes de evaluaci\u00f3n con calificaciones de riesgo<\/td>\n<td>Actualizaci\u00f3n anual; 3 a\u00f1os hist\u00f3rico<\/td>\n<\/tr>\n<tr>\n<td>SBOM \/ inventario de dependencias<\/td>\n<td>Herramienta de escaneo de dependencias del pipeline<\/td>\n<td>Formato SBOM est\u00e1ndar (CycloneDX, SPDX)<\/td>\n<td>Por lanzamiento; m\u00ednimo 12 meses<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Causas Frecuentes de No Conformidades en Entornos CI\/CD<\/h2>\n<p>Las siguientes no conformidades se reportan con mayor frecuencia durante las auditor\u00edas de certificaci\u00f3n de organizaciones con pipelines CI\/CD:<\/p>\n<ol>\n<li><strong>Brecha en el alcance del SGSI:<\/strong> La infraestructura CI\/CD no est\u00e1 incluida expl\u00edcitamente en el alcance del SGSI, lo que resulta en controles no aplicados<\/li>\n<li><strong>Documentaci\u00f3n desactualizada:<\/strong> Pol\u00edticas y procedimientos redactados antes de la adopci\u00f3n de CI\/CD y nunca actualizados para reflejar los procesos automatizados<\/li>\n<li><strong>Revisiones de acceso incompletas:<\/strong> Las cuentas de servicio del pipeline y las credenciales de automatizaci\u00f3n excluidas de las revisiones peri\u00f3dicas de acceso<\/li>\n<li><strong>Trazas de auditor\u00eda ausentes:<\/strong> Los registros del pipeline son mutables, incompletos o no se retienen durante el per\u00edodo requerido<\/li>\n<li><strong>Puertas de seguridad eludibles:<\/strong> Las etapas de pruebas de seguridad en el pipeline pueden omitirse sin aprobaci\u00f3n formal y documentaci\u00f3n<\/li>\n<li><strong>Sin evaluaci\u00f3n de riesgos de proveedores para herramientas CI\/CD:<\/strong> Las plataformas y plugins CI\/CD de terceros no est\u00e1n incluidos en el registro de riesgos de proveedores<\/li>\n<li><strong>Cambios de emergencia sin revisi\u00f3n retrospectiva:<\/strong> Hotfixes desplegados fuera del pipeline est\u00e1ndar sin justificaci\u00f3n documentada y revisi\u00f3n post-despliegue<\/li>\n<li><strong>Brechas en la evaluaci\u00f3n de riesgos:<\/strong> Escenarios de amenazas espec\u00edficos de CI\/CD (ataque a la cadena de suministro, exposici\u00f3n de secretos, compromiso del pipeline) no evaluados en el registro de riesgos<\/li>\n<\/ol>\n<h2>Expectativas de la Auditor\u00eda de Vigilancia<\/h2>\n<p>Despu\u00e9s de la certificaci\u00f3n inicial, se realizan auditor\u00edas de vigilancia anuales (que t\u00edpicamente cubren un tercio de los controles cada a\u00f1o). Para los entornos CI\/CD, los auditores de vigilancia se enfocar\u00e1n en:<\/p>\n<ul>\n<li><strong>Efectividad continua:<\/strong> \u00bfSiguen funcionando eficazmente los controles que eran conformes en la certificaci\u00f3n?<\/li>\n<li><strong>Cobertura de revisi\u00f3n de la direcci\u00f3n:<\/strong> \u00bfHa revisado la direcci\u00f3n el desempe\u00f1o de seguridad de CI\/CD?<\/li>\n<li><strong>Acciones correctivas:<\/strong> \u00bfSe han abordado y verificado las no conformidades de la auditor\u00eda anterior?<\/li>\n<li><strong>Cambios desde la \u00faltima auditor\u00eda:<\/strong> \u00bfHa habido cambios significativos en el entorno CI\/CD y fueron objeto de evaluaci\u00f3n de riesgos?<\/li>\n<li><strong>Hallazgos de auditor\u00eda interna:<\/strong> \u00bfLas auditor\u00edas internas cubrieron los controles CI\/CD y se abordaron los hallazgos?<\/li>\n<li><strong>Mejora continua:<\/strong> \u00bfExiste evidencia de que los controles de seguridad CI\/CD han mejorado desde la \u00faltima auditor\u00eda?<\/li>\n<\/ul>\n<h2>Preparaci\u00f3n para la Recertificaci\u00f3n<\/h2>\n<p>La auditor\u00eda de recertificaci\u00f3n trienal es m\u00e1s exhaustiva que las auditor\u00edas de vigilancia. Reeval\u00faa todo el SGSI. Para los entornos CI\/CD, la preparaci\u00f3n debe incluir:<\/p>\n<ul>\n<li>Revisi\u00f3n y actualizaci\u00f3n completa de todas las pol\u00edticas y procedimientos relacionados con CI\/CD<\/li>\n<li>Ciclo completo de revisiones de acceso para todas las cuentas y credenciales del pipeline<\/li>\n<li>Evaluaci\u00f3n de riesgos actualizada que cubra las nuevas tecnolog\u00edas o procesos CI\/CD adoptados durante el ciclo de certificaci\u00f3n<\/li>\n<li>Evidencia de tres a\u00f1os de operaci\u00f3n continua de controles (trazas de auditor\u00eda, registros de revisi\u00f3n, registros de incidentes)<\/li>\n<li>Registros de revisi\u00f3n de la direcci\u00f3n que aborden espec\u00edficamente las tendencias de desempe\u00f1o de seguridad CI\/CD<\/li>\n<li>Informes de auditor\u00eda interna que cubran todos los controles del Anexo A relevantes para CI\/CD<\/li>\n<li>Evidencia de iniciativas de mejora continua para la seguridad del pipeline<\/li>\n<\/ul>\n<h2>Lectura Adicional<\/h2>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/iso-27001\/\">Centro de Cumplimiento ISO 27001<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Antes de que Llegue el Auditor \u2014 Lista de Verificaci\u00f3n de Preparaci\u00f3n para Auditor\u00eda CI\/CD<\/a><\/li>\n<\/ul>\n<hr\/>\n<h3>Relacionado para Auditores<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/manual-para-el-dia-de-auditoria-como-gestionar-auditorias-ci-cd-en-entornos-regulados\/\">Playbook del D\u00eda de Auditor\u00eda<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Informe Ejecutivo de Auditor\u00eda<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/arquitectura-de-doble-cumplimiento-explicado\/\">Arquitectura de Cumplimiento Dual<\/a><\/li>\n<\/ul>\n<p><em>\u00bfNuevo en la auditor\u00eda de CI\/CD? Comience con nuestra <a href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\">Gu\u00eda para Auditores<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Descripci\u00f3n General del Proceso de Auditor\u00eda de Certificaci\u00f3n ISO 27001 La certificaci\u00f3n ISO 27001 implica una auditor\u00eda externa en dos etapas realizada por un organismo de certificaci\u00f3n acreditado. Comprender este proceso es esencial para los responsables de cumplimiento que preparan entornos CI\/CD para la evaluaci\u00f3n. Etapa 1 \u2014 Revisi\u00f3n de Documentaci\u00f3n La auditor\u00eda de Etapa &#8230; <a title=\"Certificaci\u00f3n ISO 27001 \u2014 Qu\u00e9 Evidencia de CI\/CD Requieren los Auditores\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/certificacion-iso-27001-que-evidencia-de-ci-cd-requieren-los-auditores\/\" aria-label=\"Leer m\u00e1s sobre Certificaci\u00f3n ISO 27001 \u2014 Qu\u00e9 Evidencia de CI\/CD Requieren los Auditores\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,135],"tags":[],"post_folder":[],"class_list":["post-1933","post","type-post","status-publish","format-standard","hentry","category-audit-evidence-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1933"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1933\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1933"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}