by yaneth reyes 10 years ago
1178
More like this
ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), emitida por la Organización Internacional de Normalización (ISO).
El Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
Deben implementarse sólo si se determina que corresponden en la declaración de aplicabilidad.
Las medidas de seguridad distribuidos en 14 secciones (secciones A.5 a A.18).
Las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma.
Esta sección forma parte de la fase de Mejora del ciclo PDCA(Planear, Hacer, Verificar y Actuar), define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.
Esta sección forma parte de la fase de Revisión del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.
Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos sobre disponibilidad de recursos, competencias, concientización, comunicación y control de documentos y registros.
Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, hacer, verificar y actuar), define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.
La sección es parte de la fase de Planificación del ciclo PDCA(Planificar, hacer, verificar y actuar) y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.
Las secciones 0 a 3 son introductorias y no son obligatorias para la implementación.
De nuevo, hace referencia a la norma ISO/IEC 27000.
Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
Explica que esta norma es aplicable a cualquier tipo de organización.
Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
implementar la norma tal como se explicó en las secciones anteriores y luego se debe aprobar la auditoría que realiza la entidad de certificación
Después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI
Los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI
Los auditores revisarán toda la documentación.
hacer el curso y aprobar el examen para obtener el certificado
Define los requerimientos para los sistemas de gestión de calidad
Define los requerimientos para los sistemas de gestión de continuidad del negocio
Proporciona directrices para la gestión de riesgos de seguridad de información
proporciona directrices para la medición de la seguridad de la información
proporciona directrices para la implementación de los controles indicados en ISO 27001
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica. Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales necesarias para prevenir violaciones de la seguridad.
La seguridad de la información es parte de la gestión global del riesgo en una empresa
Nota: las organizaciones que simplemente cumplen la norma ISO 27001 o las recomendaciones de la norma del código profesional, ISO 17799 no logran estas ventajas
Las empresas están obligadas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos la empresa va a ahorrar mucho dinero. Y la inversión en ISO 27001 es mucho menor que el ahorro que se obtendrá.
Al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial
Se demuestra independientemente que se están cumpliendo y respetando