Sunday, April 22, 2012

ISO/IEC 27001 Requisitos para mejorar los Sistemas de Gestión de la seguridad de la Información (SGSI)

ISO/IEC 27001 es una normativa internacional válida desde octubre del 2005 y se deriva de la norma BS 7799-2 del grupo BSI (British Standards Institution). Esta norma  especifica formalmente todo el proceso requerido para implementar y aplicar un sistema de gestión de seguridad de la información (SGSI). Ser una especificación formal significa que se deben reunir ciertos requisitos específicos en busca de una certificación.


La gerencia de la organización determina el alcance del SGSI y delimitación  de la certificación a una sola unidad de negocio, por lo tanto La norma ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de ámbito, tiene un enfoque adecuado para la gestión de seguridad de la información.

Modelo Deming de aseguramiento de calidad

Enfoque orientado a procesos de ISO/IEC 27001 

Examina sistemáticamente los riesgos de la organización de seguridad de información, teniendo en cuenta las amenazas, vulnerabilidades e impactos.

Diseña e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y/u otras formas de tratamiento de riesgos (por ejemplo, la cobertura de riesgos o de transferencia de riesgo), es especial para hacer frente a esos riesgos que se consideran inaceptables.

Adoptar un proceso de gestión global sobre una base de realimentación continua para asegurar que los controles de seguridad de la información siguen satisfaciendo las necesidades de la organización.




Las organizaciones que afirman haber adoptado la norma ISO/IEC 27001, deben ser formalmente auditado y certificado conforme a la normativa.



Responsabilidad de la administración
Auditorías internas del SGSI
examen de la gestión de ISMS
Control de Documentos

 
Declaración de aplicabilidad:
• Los objetivos de control y controles seleccionados
• Los objetivos de control y controles aplicados 
Los objetivos de control y los controles no seleccionados,  justificación


Comparación de ISHB y SGSI


Certificación

la certificación SGSI se aplica a empresas, no a productos o servicios, una empresa certificada garantizar a sus clientes y socios, que cumple con las normas de seguridad, por lo tanto es fiable y maneja criterios de calidad.


En algunos países, los organismos que verifican la conformidad de los sistemas de gestión a las normas especificadas son llamados "organismos de certificación", mientras que en otros se refieren comúnmente como "organismos de certificación".

Los requisitos de la entidades acreditadoras son:

  • imparcialidad
  • neutralidad
  • Repetibilidad
  • objetividad
  • independencia financiera
En Austria: La acreditación se hace por medio del BMWFJ y CIS (Certified Information Security Services) 

La norma ISO/IEC 27001 al igual que otras certificaciones ISO de sistemas de gestión, por lo general implica un proceso de auditoría en tres etapas:

Etapa 1 Es un examen preliminar e informal del SGSI, comprobando la existencia y la integridad de la documentación clave, como las políticas de seguridad de la información dentro de la organización, la Declaración de Aplicabilidad (SOA) y Plan de Tratamiento del Riesgo (RTP). Esta etapa sirve para familiarizar a los auditores de la organización y viceversa.

Etapa 2 Es una auditoría de cumplimiento más detallada y formal. Los auditores buscan pruebas para confirmar que el sistema de gestión ha sido correctamente diseñado e implementado, por ejemplo: Confirmar que un comité de seguridad o cuerpo similar de administración se reúne periódicamente para supervisar la operación del SGSI.

Etapa 3 Seguimiento de revisiones o auditorías para confirmar que la organización siga cumpliendo con la norma. El Mantenimiento de la certificación requiere de evaluaciones periódicas para confirmar que el SGSI sigue funcionando según lo especificado y previsto. Estos deben ocurrir al menos una vez al año, pero a menudo se realizan con más frecuencia, en particular, mientras que el SGSI todavía está madurando.

Duración del proceso de certificación

3 años con auditorias de vigilancia cada 6 meses, después es necesaria una re-certificación



Fuentes: www.bitkom.org

Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos. 
Post a Comment