ISO 27000 SINTRA

Norma ISO 27000

La Norma ISO 27001 es una Norma de gestión orientada a la seguridad de la información, cuyo objetivo es que las empresas a través de la implementación de una serie de requisitos establecidos en una Norma Internacional ISO 27001 e ISO 27002  y una serie de documentos como son: política de seguridad de la información, manual de gestión, procesos, procedimientos,documentos, folletos, controles de seguridad y la participación del personal la empresa de una manera eficiente logra resguardar la información tanto propia como de sus clientes.

 

¿Cómo funciona la Norma ISO 27001?

El eje central de la ISO 27001, es proteger:

  • Confidencialidad

  • Integridad

  • Disponibilidad de la información de la empresa

 

La filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos y oportunidades : investigar dónde están los riesgos y las oportunidades para después tratarlos sistemáticamente.

Las medidas de seguridad o controles que se implementan se pueden definir  bajo la forma de políticas, procedimientos e implantación técnica (por ejemplo, software y equipos).

Esta es la razón por la cual  la gestión de la seguridad de la información no se limita  solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también incluye gestión de procesos, recursos humanos,  protección jurídica,  protección física, etc.

Como este tipo de implantación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo estructurar todos estos elementos dentro de un sistema de gestión de seguridad de la información (SGSI).

 

¿Cuales son las ventajas de la Norma ISO/IEC 27001?

  • Se crea una Política empresarial orientada a la Seguridad de la Información la cual desde el inicio de la implementación del Sistema de Gestión de Seguridad de Información la empresa debe establecer dicha política desde la dirección de la empresa y apoyada por todos los miembros de la organización
  • Crea una cultura de Seguridad de la Información en la empresa permitiendo a la empresa una eficiente resguardo de la información en todos los niveles de la organización
  • Brinda una imagen a la sociedad de ser una empresa que preocupada por el resguardo la información de los clientes
  • Da cumplimiento legal en aspectos de la Ley Federal de Protección de Datos Personales
  • Permite el ahorro de costes evitando multas y sanciones por parte de la autoridad cumpliendo con requerimientos legales
  • Brinda mayor confianza a los socios y accionistas sobre el core business del negocio

 

Contenido de la Norma ISO/IEC 27001

La Norma ISO/IEC 27000 está estructurada como otras normas ISO con la estructura de alto nivel HLS lo cual consta de 10 capítulos.

  1. Alcance

  2. Referencias Normativas

  3. Términos y Definiciones

  4. Contexto de la Organización

    1. Comprender la organización y su contexto
    2. Integra las necesidades y expectativas de las partes interesadas
    3. Determinar alcance del SGSI
    4. Sistema de gestión de Seguridad de la Información
  5. Liderazgo

    1. Liderazgo y compromiso
    2. Política
    3. Roles organizacionales, responsabilidades y autoridades
  6. Planificación

    1. Acciones para abordar los riesgos y las oportunidades
      1. Evaluaciones de riesgo de la Seguridad de la Información
      2. Tratamiento de riesgo de la Seguridad de la Información
    2. Objetividad de Seguridad de la Información y planificación para lograrlos
  7. Soporte

    1. Recursos
    2. Competencias
    3. Conocimientos
    4. Comunicación
    5. Información documentada
      1. Creación y actualización
      2. Control de la información documentada
  8. Operación

    1. Control y planificación operacional
    2. Evaluación de riesgo de la Seguridad de la Información
    3. Tratamiento de riesgo de la Seguridad de la Información
  9. Evaluación del Desempeño

    1. Monitoreo, medición, análisis y evaluación
    2. Auditoría interna
    3. Revisión de gestión
  10. Mejora

    1. No conformidades y acciones correctivas
    2. Mejora continua

 

Cómo implementar un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001

Al igual que cualquier otro proyecto de una empresa, es importante antes de iniciar la implementación de un Sistema de Gestión de Seguridad de la Información ISO, considera los siguientes aspectos:

  • Define la persona responsable del proyecto
  • Determina el objetivo, alcance, tiempos y costos del proyecto el cual puede apoyarte un consultor externo
  • Elabora el plan de trabajo una vez definido el proyecto
  • Realiza una revisión diagnóstica de cómo se encuentra tu organización respecto al cumplimiento de la Norma ISO/IEC 27001 e ISO/IEC 27002
  • Capacita a tu personal con base a la Norma ISO/IEC 27001 (Interpretación de la Norma, Auditores Internos, Gestión de Riesgos)
  • Elabora el Sistema de Gestión de Seguridad de la Información con base a los requerimientos de la Norma
  • Implementa el Sistema de Gestión en toda la organización
  • Audita el Sistema de Gestión a través de la auditoría interna para verificar la implementación y el correcto funcionamiento de la empresa
  • Ajusta el Sistema de Gestión una vez realizada la auditoría interna y realiza los cambios pertinentes
  • Realiza la auditoría de Certificación ISO con el organismo de certificación de tu preferencia

 

Controles Obligatorios en un SIstema de Gestión de Seguridad de la Información Según ISO 27002

Cuenta con 11 dominios 39 objetivos de control y 133 controles descritos

La implementación de los controles depende del plan de riesgos y que fue aprobado por el dueño del riesgo (dueño de datos), la Declaración de Aplicabilidad brinda la información sobre los controles que aplican y los excluidos.

 

Lista de documentación de Registros Obligatorios

  • 7.2 Registros de entrenamiento, capacidades, experiencias y cualificaciones
  • 9.1 Resultados de monitoreo y de mediciones
  • 9.2 Programa de la auditoría interna / Resultados de la auditoría interna
  • 9.3 Resultados de la revisión por la Dirección
  • 10.1 Resultados de las Acciones Correctivas
  • A 12.4.1 y A 12.4.3 Logs de los eventos de las actividades del usuario, excepcionales y eventos de Seguridad

 

Controles y Procedimientos Mandatorios

  • 4.3 Alcance del SGSI
  • 5.2, 6.2 La política y objetivos del SI
  • 6.1.3 d Declaración de APlicabilidad
  • 6.1.3 Plan de Tratamiento de riesgos
  • 8.2 Informe de evaluación de riesgos
  • A.7.1.2 y A.13.2.4 Definición de roles y responsabilidades en la seguridad
  • A.8.1.1 Inventarios de activos
  • A.8.13 Uso aceptable de activos
  • A.9.1.1 Política de control de accesos
  • A.12.1 Procedimiento de operación para la gestión de TI
  • A.14.2.5 Principios de ingeniería para sistemas seguras
  • A.16.1.5 Política para la seguridad de proveedores
  • A.17.1.2 Procedimiento y estrategias para la continuidad del negocio
  • A.18.1.1 Requisitos estatutarios, regulatorios y contractuales

 

¿Cuánto tiempo dura el proceso de implementación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001?

El periodo de implantación de un SIstema de Gestión de Seguridad de la Información ISO/IEC puede ser de 3 meses hasta más de 1 año y esto depende de varios factores entre los cuales destacamos:

  • Alcance del Sistema de Gestión que determina la propia empresa
    • Número de procesos que incluye el alcance del Sistema de Gestión
  • Tamaño de la organización
    • Número de centros en la cual la empresa desea implementar el Sistema de Gestión, ya sea 1 o varios centros de trabajo
    • Número de empleados servidores, sites que aplica al Sistema de Gestión de la Empresa
    • Puestos de trabajo con red interna y externa
  • Recursos que cuenta la empresa tanto económicos, tecnológicos y humanos siendo en esta norma los humanos  y tecnológicos  los más importantes dentro del Sistema de Gestión.
  • Si contará con el apoyo de un grupo consultor o se realizará de manera independiente por la empres.a

 

¿Cómo puedo Certificar en ISO 27001?

Es importante mencionar que las organizaciones durante el proceso de implementación del Sistema de Gestión de Seguridad de la Información ISO, en la parte final debe elegir el Organismo de Certificación el cual será el encargado de llevar  a cabo la auditoría de certificación del Sistema de Gestión.

El organismo de certificación es recomendable elegir antes de la auditoría interna, para que una vez realizada esta y hacer los ajustes necesarios en caso de existir, pueda la empresa de certificación visitarnos.

 

Normas Relacionadas ISO 27000

  • Información general y vocabulario de la Norma ISO/IEC 27001 ISO/IEC 27000
  • Código de práctica de los controles de Seguridad de la Información ISO/IEC 27002
  • Guía de Implementación del Sistema de Gestión de la Información ISO/IEC 27003
  • Seguimiento, medición, análisis y evaluación ISO/IEC 27004
  • Gestión de riesgos de la seguridad de la información ISO/IEC 27005

 

Desea información sobre la Norma ISO 27000

Publicado en auditoría, Automotriz, Calidad, Construcción, consultoría y asesoría, Cursos, diagnósticos y estudios, Energía, formación, Industrial, Industrias, Laboratorios, servicios, Servicios y etiquetado , , , , , , .

Deja una respuesta

Tu dirección de correo electrónico no será publicada.