¿QUE ES?...
ISO/IEC 27001 es un estándar para la seguridad de la información
aprobado y publicado como estándar internacional en octubre de 2005 por
International Organization for Standardization y por la comisión International
Electrotechnical Commission.
Beneficios...
- Puede aportar las siguientes ventajas a la organización:
- Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
- Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
- Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
- Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
- Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
- El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Implantación...
La implantación de ISO/IEC 27001 en una organización es un
proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado
de madurez en seguridad de la información y el alcance, entendiendo por alcance
el ámbito de la organización que va a estar sometido al Sistema de Gestión de
la Seguridad de la Información elegido. En general, es recomendable la ayuda de
consultores externos.
Aquellas organizaciones que hayan adecuado previamente de
forma rigurosa sus sistemas de información y sus procesos de trabajo a las
exigencias de las normativas legales de protección de datos o que hayan
realizado un acercamiento progresivo a la seguridad de la información mediante
la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una
posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por
representantes de todas las áreas de la organización que se vean afectadas por
el SGSI, liderado por la dirección y asesorado por consultores externos
especializados en seguridad informática generalmente Ingenieros o Ingenieros
Técnicos en Informática, derecho de las nuevas tecnologías,protección de datos
y sistemas de gestión de seguridad de la información (que hayan realizado un
curso de implantador de SGSI).
Certificación...
La certificación de un SGSI es un proceso mediante el cual
una entidad de certificación externa, independiente y acreditada audita el
sistema, determinando su conformidad con ISO/IEC 27001, su grado de
implantación real y su eficacia y, en caso positivo, emite el correspondiente
certificado.
Antes de la publicación del estándar ISO 27001, las
organizaciones interesadas eran certificadas según el estándar británico BS
7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener
la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante
su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado
reemplazada.
El Anexo C de la norma muestra las correspondencias del
Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de
Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio
Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar
a certificar una organización en varias normas y con base en un sistema de
gestión común.