Категории: Все - implementación - gestión - activos - seguridad

по yaneth reyes 10 лет назад

1425

Norma ISO 27001

La norma ISO/IEC 27001:2013 es la única norma internacional auditable que establece los requisitos para un sistema de gestión de la seguridad de la información. Emitida por la Organización Internacional de Normalización (

Norma ISO 27001

Norma ISO/IEC 27001:2013

ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), emitida por la Organización Internacional de Normalización (ISO).

QUE CONTIENE?

El Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.

Anexo A

Deben implementarse sólo si se determina que corresponden en la declaración de aplicabilidad.

Catálogo de 114 controles

Las medidas de seguridad distribuidos en 14 secciones (secciones A.5 a A.18).

Obligatorias

Las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma.

Sección 10: Mejora

Esta sección forma parte de la fase de Mejora del ciclo PDCA(Planear, Hacer, Verificar y Actuar), define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

Sección 9: Evaluación del desempeño

Esta sección forma parte de la fase de Revisión del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

Sección 8: Funcionamiento

Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

Sección 7: Apoyo

Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos sobre disponibilidad de recursos, competencias, concientización, comunicación y control de documentos y registros.

Sección 6: Planificación

Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, Hacer, Verificar y Actuar), define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

Sección 5: Liderazgo

Esta sección es parte de la fase de Planificación del ciclo PDCA(Planificar, hacer, verificar y actuar), define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

Sección 4: Contexto de la organización

La sección es parte de la fase de Planificación del ciclo PDCA(Planificar, hacer, verificar y actuar) y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.

Introductorias

Las secciones 0 a 3 son introductorias y no son obligatorias para la implementación.

Sección 3: Términos y definiciones

De nuevo, hace referencia a la norma ISO/IEC 27000.

Sección 2: Referencias normativas

Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.

Sección 1: Alcance

Explica que esta norma es aplicable a cualquier tipo de organización.

Sección 0: Introducción

Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

CERTIFICACIÓN

ORGANIZACIONES

implementar la norma tal como se explicó en las secciones anteriores y luego se debe aprobar la auditoría que realiza la entidad de certificación

Visitas de supervisión

Después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI

Auditoría principal

Los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI

Revisión de documentación

Los auditores revisarán toda la documentación.

PERSONA

hacer el curso y aprobar el examen para obtener el certificado

Curso de auditor interno en ISO 27001
Curso de Implementador Principal de ISO 2700
Curso de Auditor Líder en ISO 27001

OTRAS NORMAS RELACIONADAS

ISO 9001

Define los requerimientos para los sistemas de gestión de calidad

ISO 22301

Define los requerimientos para los sistemas de gestión de continuidad del negocio

ISO/IEC 27005

Proporciona directrices para la gestión de riesgos de seguridad de información

ISO/IEC 27004

proporciona directrices para la medición de la seguridad de la información

ISO/IEC 27002

proporciona directrices para la implementación de los controles indicados en ISO 27001

WEB GRAFIA

http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
http://www.iso27001standard.com/es/que-es-iso-27001/
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/

COMO SE HACE?

Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica. Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales necesarias para prevenir violaciones de la seguridad.

La gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.
Mitigar o tratar los riesgos
Evaluar riesgos

La seguridad de la información es parte de la gestión global del riesgo en una empresa

VENTAJAS A LA ORGANIZACIÓN

Nota: las organizaciones que simplemente cumplen la norma ISO 27001 o las recomendaciones de la norma del código profesional, ISO 17799 no logran estas ventajas

Una mejor organización

Las empresas están obligadas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.

Menores costos

Evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos la empresa va a ahorrar mucho dinero. Y la inversión en ISO 27001 es mucho menor que el ahorro que se obtendrá.

Obtener una ventaja comercial

Al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial

Cumplir con los requerimientos legales

Se demuestra independientemente que se están cumpliendo y respetando

DEFINICIÓN

Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.