Eso depende de varias cosas. Desafortunadamente, el DSI de PDI es un poco vago en algunas áreas, y diferentes auditores interpretan las cosas de manera diferente. Espere que su primera auditoría llegue a un 80% de lo que necesita para prepararse, el 20% en realidad se reúna y luego espere que las futuras auditorías se realicen sin problemas. Pero su QSA le dirá lo que espera.
Sin embargo, en general, debería haber escrito políticas sobre cómo proteger sus datos (copias de seguridad, en vivo, etc.) y poder generar registros y pruebas que demuestren que sigue los procedimientos.
Por ejemplo, para satisfacer la sección 6, los desarrolladores deben tener un proceso de desarrollo documentado. Nosotros lo hacemos, y nuestro proceso incluye pasos como revisiones de código (por lo que proporcionamos copias de revisiones de código completas) procedimientos para solicitar a los administradores que publiquen un elemento etiquetado específico del control de origen para abordar la separación de inquietudes (por lo tanto, proporcionamos tickets de solicitud de cambio que especifican qué versión del código fuente se publica en qué fecha / hora).
Lo mismo ocurre con el resto de la auditoría. Haga que sus procedimientos estén documentados y proporcione pruebas de que sigue esos procedimientos.
En cuanto a qué tan detalladas deben ser las políticas, debe incluir su rastro impreso en las políticas, de modo que el auditor sepa qué esperar de la documentación y se obligue a usted mismo a recopilar la documentación durante todo el año. Hace las cosas mucho más fáciles. Incluya elementos en sus políticas, como "Todos los cambios están registrados (nombre de un sistema)" y luego realmente registre sus cambios en ese sistema .
Lo más probable es que sus prácticas actuales no cumplan los requisitos al 100% o que no pueda proporcionar esa documentación. En general, eso parece esperarse en una primera auditoría (o al menos eso es lo que yo reconozco de nuestros auditores) y la primera auditoría es una especie de revelación. Le enseña dónde necesita mejorar sus políticas (y cómo mejorarlas ahora mismo). Es probable que tenga la oportunidad de proporcionar lo que tiene y comenzar a redactar nuevas políticas bajo la guía de su auditor. En los años siguientes, espere menos indulgencia.