▷ ISO 27001 - Implementación y Certificación | Ingertec
LlamarPresupuesto

Implantamos tu

ISO 27001 SEGURIDAD DE LA INFORMACIÓN

Implante ISO/IEC 27001 y distíngase de su competencia

ISO 27001 pertenece a la familia de normas recogidas en ISO / IEC 27000 amparadas en la Organización Internacional de Estandarización (ISO), donde se determina una implementación efectiva de la seguridad de la información empresarial desarrollada en las normas:

  • ISO 27001 Contiene los requisitos a certificar
  • ISO 27002 Se presenta como un conjunto de buenas prácticas y recomendaciones que nos ayudan a implementar la norma 27001 que es la norma a certificar
ISO 27001 Seguridad de la Información. Ingertec
ISO 27001 Seguridad de la Información. Ingertec

¿Qué es

ISO 27001?

  • ISO 27001 es una disposición internacionalmente reconocida que nos ayuda a gestionar la seguridad de la información en cualquier tipo de organizaciones.
  • La norma ISO 27001 es un esquema certificable que ha sido probado a nivel internacional cuyo origen se sitúa en la norma británica BS 7799-2.
  • Desde sus primeros pasos en el año 2005 hasta el día de hoy ISO 27001 ha sufrido varias revisiones donde se han ido incorporando progresivamente las mejores prácticas en seguridad de la información, basándose en la experiencia de todo tipo de organizaciones y con la ayuda de los mejores expertos en seguridad de la información.

¿Qué obtengo con el

certificado ISO 27001?

Icono ventaja competitiva

Mayor ventaja competitiva y comercial

Icono reducción riesgos

Reducción de riesgos

Icono confianza y mejora

Confianza y mejora de la imagen de la marca

Icono competencia global

Competencia global y más cualificada

Icono cumplimiento legal

Cumplimiento Legal

Prestigio internacional del

certificado ISO 27001

El certificado ISO 27001 es actualmente el principal referente para garantizar las buenas prácticas en la seguridad de la información en las empresas a nivel mundial, algo que está siendo refrendado año a año las estadísticas de crecimiento mundial de certificados.
Un sistema de Seguridad de la información es una herramienta indispensable en el mundo actual para proteger a las empresas y organizaciones de las amenazas y riesgos contra la información.
Para ello ISO 27001 nos permite:
  • Conocer los riesgos
  • Gestionar los riesgos
  • Minimizar los riesgos

Integración con otras normas del

certificado ISO 27001

Una empresa que ya tenga implantado un sistema de gestión basado en una estructura de alto nivel según el anexo SL común a las normas ISO les resultara más sencillo implantar la norma ISO 27001. Esto ocurre con las normas ISO 9001 y 14001 en su versión 2015 así como otras normas como ISO 22301 Continuidad del Negocio o ISO 31000 gestión del riesgo.

En este caso se recomienda implantar un sistema Integrado de Gestión donde podamos aprovechar los puntos comunes entre las distintas normas para no duplicar esfuerzos ya que al existir muchos puntos en común entre las diferentes normas se pueden unificar documentos.

INTEGRACION ISO 9001 & ISO 27001

Un caso típico seria por ejemplo la integración de un sistema de gestión de la seguridad de la Información según ISO 27001 en un sistema de gestión de la calidad según ISO 9001 ya implantado.

Un proceso de integración ISO 9001 – ISO 27001 debe comenzar por incorporar los requisitos de seguridad de la información de la norma ISO 27001 a los procesos de calidad ya definidos, tales como:

Requisitos comunes

Podemos identificar varios requisitos comunes no solo a las normas ISO 9001 e ISO 27001 si no para otras normas también y que pueden ser abordados conjuntamente:

  • Competencia
  • Sensibilización
  • Comunicación
  • Control documental y registros
  • No Conformidades / Acciones correctivas

Contexto de la Organización

En este punto deberemos identificar los aspectos internos y externos relacionados con la seguridad de la información para añadirlos a los ya identificados con relación a la calidad.

Partes Interesadas

Integrados en el mismo proceso ya existente deberemos determinar las partes interesadas y sus requisitos en relación a la seguridad de la información.

Roles y responsabilidades

Se deben definir los roles y responsabilidades requeridos por el SGSI (Sistema de Gestión de la seguridad de la Información).

Auditorías Internas y revisión por la dirección

Aun siendo un punto común entre ambas normas, deberemos tener en cuenta las distintos datos/resultados para efectuar la revisión, pudiéndose integrar ambas auditorias, la de calidad y seguridad de la Información en una misma auditoria si el tamaño de la empresa así lo aconseja.

Ambas normas ISO 9001 e ISO 27001 son complementarias y se potencias mutuamente de forma que la norma 27001 aporta a los requisitos de calidad principalmente:

Una evaluación de riesgos de la Seguridad de la Información

La evaluación del riesgo y su tratamiento es el paso más importante en su proyecto de seguridad de la información. Aquí se establecen las bases para la seguridad de la información en la empresa.

Plan de tratamiento de riesgos

Además de identificar cada uno de los riesgos se establecerán los controles apropiados para gestionar el riesgo de manera sistemática de forma que consideremos todos los aspectos importantes para la empresa. Aquí se establecen además el cronograma de implantación, los recursos necesarios además del plan de auditorías.

NORMAS FACILMENTE INTEGRABLES CON ISO 27001

  • ISO 9001 Gestión de la calidad
  • ISO 14001 Gestión medio ambiental
  • ISO 22301 Continuidad del negocio
  • ISO 31000 Gestión de riesgos
  • ENS Esquema Nacional de Seguridad
  • ISO 20000 Calidad de servicios TI
  • ISO 15504 Calidad del SW
ISO 27001 Seguridad de la Información. Ingertec

Estructura y apartados de la

Norma ISO 27001

La norma ISO 27001 tras su última revisión permite entre otras cosas una mayor facilidad de integración con otras normas como la ISO 9001 y esquemas basados en sistemas documentales desarrolladas en base al anexo SL.
 
La estructura de la norma ISO 27001 para la Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

Destacamos que la norma ISO 27001 nos ofrece la confianza de que los riesgos son gestionados adecuadamente integrando los procesos de la seguridad de la información dentro de la gestión de una organización.

En este capítulo, la norma ISO 27001:2013 establece el obligatorio el cumplimiento de los requisitos especificados entre los capítulos 4 a 10 incluidos en el documento normativo como requisito para obtener una conformidad de cumplimiento y así poder certificase.

Como novedad sobre la versión ISO 27001:2005, la revisión 27001:2013 elimina como referencia normativa obligatoria el anexo 27002, quedando como única referencia los términos y definiciones contenidos en el texto del documento ISO 27001:2013.

Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola guía de términos y definiciones que sea consistente.

Como primer requisito de la norma ISO 27001:2013 se debe definir:

  • Los problemas o cuestiones externas que afectan a la capacidad para obtener los resultados previstos en el sistema de seguridad de la información.
  • Determinar las necesidades y expectativas de todas las partes interesadas.
  • Determinación del alcance del SGSI.

Para ello la alta dirección ha de demostrar su liderazgo y compromiso:

  • Elaborando una política de seguridad
  • Comunicar convenientemente a toda la organización los objetivos de la política de seguridad
  • Asignar roles, responsabilidades y autoridades dentro del sistema de seguridad de la información
  • Conseguir la contribución activa de toda la empresa en el sistema de la seguridad de la información

En este capítulo se establece como requisito la definición de los objetivos de seguridad mediante:

  • Análisis de evaluación de riesgos partiendo de las amenazas y vulnerabilidades
  • Plan de tratamiento del riesgo

Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:

  • Personal competente.
  • Conciencia y comunicación de todas las partes interesadas.
  • Documentación de los procesos.

Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.

Aquí se establecen los requisitos para evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información mediante controles de seguimiento, medición, análisis y evaluación de la seguridad de la información.

Se establecen para ello además los procesos de:

  • Auditorías internas periódicas
  • Proceso de revisión por parte de la dirección

Requisitos para los procesos de:

  • Seguimiento de No conformidades y Acciones correctivas.
  • Proceso de mejora continua.

Opiniones de nuestros clientes

HIDRÁULICA Y FOTOVOLTAICA
Estamos muy contentos con la labor de Ingertec. Personal competente y efectivo.
SURFACES FOR CLIMBING
Trato cordial, profesional y rapidez en el servicio. Muy contentos con Ingertec. Lo recomendamos 100%
SERVICIOS HOSTELEROS A COLECTIVIDADES S.L.
Ingertec es una empresa muy competente, profesional y con una importante experiencia en el sector. Gracias a su gran versatilidad podemos cubrir las lagunas que nuestra necesaria especialización impide afrontar con garantía
JAZZTEL
Son muy buenos profesionales y cuentan con los mejores técnicos en su equipo.
McNeil
Destacaría especialmente la ayuda que nos proporcionan ante cualquier solicitud de la índole que sea. Nos sentimos realmente satisfechos con la labor que han realizado, así como la alta profesionalidad de todo su personal
TAM COLMENERO
Grandes profesionales, excelente servicio.
LIFE CARE
Los profesionales de Ingertec han hecho una labor de seguimiento y aclaración de dudas que ha permitido a nuestra empresa no apartarse de su día a día.

Artículos relacionados con

certificado ISO 27001

Ingertec.¿Qué es la seguridad de la información? Aspectos a tener en cuenta

¿Qué es la seguridad de la información? Aspectos a tener en cuenta

Una respuesta concisa a esta pregunta relacionada con la seguridad o ciberseguridad de cualquier núcleo empresarial resulta clave a día de hoy…. Más información
Ingertec. Sistemas ISO 27001 adaptados al ENS

Sistemas ISO 27001 adaptados al ENS

En este artículo repasaremos la relación entre la norma ISO 27001 y el ENS Esquema Nacional de Seguridad y los requisitos para adaptar un Sistema de Gestión de la seguridad de la Información … Más información

Conoce el coste
para tu empresa

La materia y objetivos de la Norma ISO 27001 necesitan de personal técnico conocedor de todos los requisitos. Contar con una ayuda externa especializada y objetiva, puede ser un medio para agilizar y avanzar rápidamente en la consecución del objetivo de contar el certificado ISO 27001.

Solicitar presupuesto

Ayuda especializada y objetiva