¿Qué es la ISO 27001?
La ISO 27001 es una norma internacional que establece un marco para el SGSI o Sistema de Gestión de la Seguridad de la Información en el contexto de la organización. La norma internacional de SGSI que las empresas pueden certificar, la ISO 27001, se conoce oficialmente como ISO/IEC 27001:2013 y fue creada por un comité compuesto por expertos de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La ISO 27001:2013 no debe confundirse con la ISO/IEC 27000:2018, otra norma ISO/IEC 27000, que pretende definir las terminologas comunes utilizadas en el cuerpo de normas del SGSI.
Por qu es importante?
La norma ISO 27001 es importante porque establece un punto de referencia para el tipo de marco de SGSI que las empresas u organizaciones pueden implementar y ajustar segn sus necesidades. Establece un estndar mnimo para el sistema de gestin de la seguridad de la informacin que puede esperarse de cualquier empresa, independientemente de su tamao, industria o ubicacin, que busque ser reconocida como poseedora de un slido SGSI.
Industrias y organizaciones que se enfrentan a desafos en materia de seguridad de la informacin
A medida que la tecnologa digital se convirti en parte integrante de las operaciones cotidianas de las empresas y organizaciones, tambin lo hizo la necesidad de proteger la informacin digital que conlleva el funcionamiento de estas empresas. Estos son algunos de los campos que se enfrentan a los retos de la seguridad de la informacin:
- Sanidad
- Servicios pblicos
- Logstica
- Banca y Finanzas
- Entidades gubernamentales
Para conseguir un sistema de gestin de la seguridad de la informacin slido ser necesario un esfuerzo concertado dentro de una organizacin y los conocimientos necesarios para mantenerlo.
Cules son los requisitos de la norma ISO 27001?
Una de las ventajas de aplicar la norma ISO 27001 es que exige que se demuestre que los procesos existentes contribuyen a mantener la seguridad de la informacin y que se tienen en cuenta las necesidades exclusivas de la empresa para mantener un SGSI slido.
A continuacin se describen las clusulas 4.1 a 10.2, que son los requisitos bsicos de la norma ISO 27001. Ayudan a descubrir las deficiencias de los procesos y a evaluar la preparacin de una organizacin para la certificacin ISO 27001.
- 4. Contexto de la organizacin
- 4.1 Entender la organizacin y su contexto
- 4.2 Comprender las necesidades y expectativas de las partes interesadas
- 4.3 Determinacin del alcance del sistema de gestin de la seguridad de la informacin
- 4.4 Sistema de gestin de la seguridad de la informacin
- 5. Liderazgo
- 5.1 Liderazgo y compromiso
- 5.2 Poltica
- 5.3 Funciones, responsabilidades y autoridades de la organizacin
- 6. Planificacin
- 6.1 Acciones para hacer frente a los riesgos y oportunidades
- 6.2 Objetivos de seguridad de la informacin y planes para alcanzarlos
- 7. Apoyar
- 7.1 Recursos
- 7.2 Competencia
- 7.3 Concienciacin
- 7.4 Comunicacin
- 7.5 Informacin documentada
- 8. Operacin
- 8.1 Planificacin y control de las operaciones
- 8.2 Evaluacin de los riesgos para la seguridad dela informacin
- 8.3 Tratamiento de los riesgos para la seguridad de la informacin
- 9. Evaluacin del rendimiento
- 9.1 Seguimiento, medicin, anlisis y evaluacin
- 9.2 Auditora interna
- 9.3 Revisin de la gestin
- 10. Mejora
- 10.1 No conformidad y accin correctiva
- 10.2 Mejora continua
Cmo obtener la certificacin ISO 27001?
La norma ISO/IEC 27001:2013 es la norma internacional de SGSI de la familia ISO 27000 que las empresas pueden certificar. Las organizaciones y empresas pueden seguir estos pasos para preparar la certificacin ISO 27001:
Paso 1: Revisar la norma y descubrir las lagunas de los procesos internos
Familiarcese con la norma ISO/IEC 27001:2013 y compruebe cmo se alinean sus procesos internos actuales con ella. Compruebe su actual SGSI y estos tres en particular -poltica de seguridad de la informacin, declaracin de aplicabilidad y plan de tratamiento de riesgos de seguridad de la informacin- porque la norma exige estos documentos para que una organizacin obtenga la certificacin.
Paso 2: Realizar una auditora interna
Evale la preparacin de su organizacin realizando una auditora interna utilizando una lista de comprobacin de la norma ISO 27001 que tenga en cuenta los tres documentos y otros detalles sobre su SGSI que los auditores de terceros examinarn durante la auditora de certificacin real.
Paso 3: Conseguir un auditor reputado para la certificacin
Una vez que haya realizado su propia auditora interna y haya preparado su organizacin lo mejor posible, pngase en contacto con un auditor externo que pueda realizar una auditora objetiva con el fin de obtener una certificacin para su empresa.
Una vez certificada, la empresa debe mantener su conformidad. La realizacin de auditoras internas peridicas puede ayudar a garantizar que el SGSI implantado sigue siendo eficaz contra las amenazas a la seguridad de la informacin y se ajusta a las normas mundiales.
Cmo puede SafetyCulture (iAuditor) ayudar a su organizacin a obtener la certificacin?
SafetyCulture (iAuditor) by SafetyCulture es utilizado por los lderes del sector para alinearse con normas internacionales como la ISO 27001 y cumplir con la normativa aplicable. SafetyCulture (iAuditor) puede ayudar a las empresas a prepararse para la certificacin ISO 27001 mediante lo siguiente
- Llevar a cabo auditoras internas para descubrir las deficiencias de los procesos utilizando plantillas como la lista de comprobacin de la norma ISO 27001:2013 que los usuarios pueden personalizar para adaptarse a las necesidades de la organizacin
- Captar las reas de mejora y registrar eficazmente las acciones correctivas realizadas para preparar la certificacin
- Informacin segura a la que slo puede acceder el personal autorizado a travs de la nube, un sistema que ya cumple con la norma ISO 27001
- Mantener el cumplimiento de la norma mediante revisiones peridicas del SGSI vigente
