ISO/IEC 27001 es una normativa internacional válida desde octubre del 2005 y se deriva de la norma BS 7799-2 del grupo BSI (British Standards Institution). Esta norma especifica formalmente todo el proceso requerido para implementar y aplicar un sistema de gestión de seguridad de la información (SGSI). Ser una especificación formal significa que se deben reunir ciertos requisitos específicos en busca de una certificación.
La gerencia de la organización determina el alcance del SGSI y delimitación de la certificación a una sola unidad de negocio, por lo tanto La norma ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de ámbito, tiene un enfoque adecuado para la gestión de seguridad de la información.
 |
| Modelo Deming de aseguramiento de calidad |
Enfoque orientado a procesos de ISO/IEC 27001
Examina sistemáticamente los riesgos de la organización de seguridad de información, teniendo en cuenta las amenazas, vulnerabilidades e impactos.
Diseña e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y/u otras formas de tratamiento de riesgos (por ejemplo, la cobertura de riesgos o de transferencia de riesgo), es especial para hacer frente a esos riesgos que se consideran inaceptables.
Adoptar un proceso de gestión global sobre una base de realimentación continua para asegurar que los controles de seguridad de la información siguen satisfaciendo las necesidades de la organización.
Las organizaciones que afirman haber adoptado la norma ISO/IEC 27001, deben ser formalmente auditado y certificado conforme a la normativa.
• Responsabilidad de la administración
• Auditorías internas del SGSI
• examen de la gestión de ISMS
• Control de Documentos
Declaración de aplicabilidad:
• Los objetivos de control y controles seleccionados
• Los objetivos de control y controles aplicados
• Los objetivos de control y los controles no seleccionados, justificación
Comparación de ISHB y SGSI
Certificación
la certificación SGSI se aplica a empresas, no a productos o servicios, una empresa certificada garantizar a sus clientes y socios, que cumple con las normas de seguridad, por lo tanto es fiable y maneja criterios de calidad.En algunos países, los organismos que verifican la conformidad de los sistemas de gestión a las normas especificadas son llamados "organismos de certificación", mientras que en otros se refieren comúnmente como "organismos de certificación".
Los requisitos de la entidades acreditadoras son:
- imparcialidad
- neutralidad
- Repetibilidad
- objetividad
- independencia financiera
La norma ISO/IEC 27001 al igual que otras certificaciones ISO de sistemas de gestión, por lo general implica un proceso de auditoría en tres etapas:
Etapa 1 Es un examen preliminar e informal del SGSI, comprobando la existencia y la integridad de la documentación clave, como las políticas de seguridad de la información dentro de la organización, la Declaración de Aplicabilidad (SOA) y Plan de Tratamiento del Riesgo (RTP). Esta etapa sirve para familiarizar a los auditores de la organización y viceversa.
Etapa 2 Es una auditoría de cumplimiento más detallada y formal. Los auditores buscan pruebas para confirmar que el sistema de gestión ha sido correctamente diseñado e implementado, por ejemplo: Confirmar que un comité de seguridad o cuerpo similar de administración se reúne periódicamente para supervisar la operación del SGSI.
Etapa 3 Seguimiento de revisiones o auditorías para confirmar que la organización siga cumpliendo con la norma. El Mantenimiento de la certificación requiere de evaluaciones periódicas para confirmar que el SGSI sigue funcionando según lo especificado y previsto. Estos deben ocurrir al menos una vez al año, pero a menudo se realizan con más frecuencia, en particular, mientras que el SGSI todavía está madurando.
Duración del proceso de certificación
3 años con auditorias de vigilancia cada 6 meses, después es necesaria una re-certificación
Fuentes: www.bitkom.org
Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos.
No comments:
Post a Comment