domingo, 7 de septiembre de 2014

NORMA ISO/IEC 27001


¿QUE ES?...

ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Beneficios...

  • Puede aportar las siguientes ventajas a la organización:
  • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
  • Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
  • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
  • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
  • El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.


Implantación...

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías,protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Certificación...

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

Normas ISO

¿Qué son las Normas ISO?

Las normas ISO 9000 son normas de "calidad" establecidas por la Organización Internacional para la Estandarización (ISO) que se componen de estándares y guías relacionados con sistemas de gestión, aplicables en cualquier tipo de organización y de herramientas específicas como los métodos de auditoria (el proceso de verificar que los sistemas de gestión cumplen con el estándar).

Los principales beneficios son:

  • Reducción de rechazos e incidencias en la producción o prestación del servicio
  • Aumento de la productividad
  • Mayor compromiso con los requisitos del cliente
  •  Mejora continua
  •  Más fácil acceso a grandes clientes y administraciones públicas
  • Mayor y mejor acceso a los mercados internacionales

Principales Normas ISO

  • ISO 9001 (Requisitos de los Sistemas de Gestión de Calidad)
  • ISO 9000 (complemento a la 9001?
  •  ISO 9004 (Marca las directrices para mantener la eficacia y eficiencia en el Sistema de Gestión de Calidad)
  • ISO 19011 (orienta a las organizaciones acerca de cómo realizar las auditorías internas)
  • ISO 14001 (Sistema de Gestión de Medio Ambiente)
  • ISO 14004 (Proporciona orientación sobre el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión ambiental)
  • ISO 18000 (normas que rigen los sistemas de salud y seguridad ocupacional)
  • ISO 18001 (Sistemas de Gestión de la Seguridad y la Salud (OHSMS).
  • OHSAS 18003 (Criterios de Auditoría para los Sistemas de Gestión de la Seguridad y Salud Ocupacional (OHSMS).)
  • ISO 17001 (Contiene los principios y requisitos relativos al elemento que concierne su relación con las normas para la evaluación de la conformidad)
  • ISO 27001 (Sistemas de Gestión de la Seguridad de la Información (SGSI).)
  • ISO 170001 (Norma que se encarga de la accesibilidad universal a cualquier tipo de edificio o transporte)
  • ISO 22000 (Sistema de Gestión Alimentario)
  • ISO 16949 (también llamada ISO/TS 16949 )  industria automotriz