LlamarPresupuesto

ISO 27001 Seguridad de la Información

Asegure los activos de información de forma apropiada y acceda a contratos internacionales y con grandes clientes

AUTOPRESUPUESTO ONLINE
NOSOTROS TE LLAMAMOS
CONTÁCTANOS
REFERENCIAS INGERTEC
DÓNDE ESTAMOS

Implante ISO/IEC 27001 y distíngase de su competencia

ISO 27001 pertenece a la familia de normas recogidas en ISO / IEC 27000 amparadas en la Organización Internacional de Estandarización (ISO), donde se  determina una implementación efectiva de la seguridad de la información empresarial desarrollada en las normas:

  • ISO 27001 Contiene los requisitos a certificar
  • ISO 27002 Se presenta como un conjunto de buenas prácticas y recomendaciones que nos ayudan a implementar la norma 27001 que es la norma a certificar

¿Qué es ISO 27001?

ISO 27001 es una disposición internacionalmente reconocida que nos ayuda a gestionar la seguridad de la información en cualquier tipo de organizaciones.

La norma ISO 27001 es un esquema certificable que ha sido probado a nivel internacional cuyo origen se sitúa en la norma británica BS 7799-2.

Desde sus primeros pasos en el año 2005 hasta el día de hoy ISO 27001 ha sufrido varias revisiones donde se han ido incorporando progresivamente las mejores prácticas en seguridad de la información, basándose en la experiencia de todo tipo de organizaciones y con la ayuda de los mejores expertos en seguridad de la información.

¿Qué obtengo con el certificado ISO 50001?

subgrupo-actividad

Mayor ventaja competitiva y comercial

ahorro-de-costes

Reducción de riesgos

agilidad

Confianza y mejora de la imagen de la marca

potencial-desarrollo

Competencia global y más cualificada

mejora-eficiencia-empresarial

Cumplimiento Legal

¡NO SE QUEDE ATRÁS Y CERTIFÍQUESE!
De forma sencilla, rápida y económica

ISO 27001 un certificado de prestigio internacional

El certificado ISO 27001 es actualmente el principal referente para garantizar las buenas prácticas en la seguridad de la información en las empresas a nivel mundial, algo que está siendo refrendado año a año las estadísticas de crecimiento mundial de certificados.

Un sistema de Seguridad de la información es una herramienta indispensable en el mundo actual para proteger a las empresas y organizaciones de las amenazas y riesgos contra la información.

Para ello ISO 27001 nos permite:

  • Conocer
  • Gestionar
  • Minimizar

ISO 27001 Integración con otras normas

Una empresa que ya tenga implantado un sistema de gestión basado en una estructura de alto nivel según el anexo c común a las normas ISO  les resultara más sencillo implantar la norma ISO 27001. Esto ocurre con las normas ISO 9001 y 14001 en su versión 2015 así como otras normas como ISO 22301 Continuidad del Negocio o ISO 31000 gestión del riesgo.

En este caso se recomienda implantar in sistema Integrado de Gestión donde podamos aprovechar los puntos comunes entre las distintas normas para no duplicar esfuerzos ya que al existir muchos puntos en común entre las diferentes normas se pueden unificar documentos.

INTEGRACION ISO 9001 & ISO 27001

Un caso típico seria por ejemplo la integración de un sistema de gestión de la seguridad de la Información según ISO 27001 en un sistema de gestión de la calidad según ISO 9001 ya implantado.

Un proceso de integración  ISO 9001 – ISO 27001 debe comenzar por incorporar los requisitos de seguridad de la información de la norma ISO 27001 a los procesos de calidad ya definidos, tales como:

Requisitos comunes

Podemos identificar varios requisitos comunes no solo a las normas ISO 9001 e ISO 27001 si no para otras normas también y que pueden ser abordados conjuntamente:

  • Competencia
  • Sensibilización
  • Comunicación
  • Control documental y registros
  • No Conformidades / Acciones correctivas

Contexto de la Organización

En este punto deberemos identificar los aspectos internos y externos relacionados con la seguridad de la información para añadirlos a los ya identificados con relación a la calidad.

Partes Interesadas

Integrados en el mismo proceso ya existente deberemos determinar las partes interesadas y sus requisitos en relación a la seguridad de la información.

Roles y responsabilidades

Se deben definir los roles y responsabilidades requeridos por el SGSI (Sistema de Gestión de la seguridad de la Información).

Auditorías Internas y revisión por la dirección

Aun siendo un punto común entre ambas normas, deberemos tener en cuenta las distintos datos/resultados para efectuar la revisión, pudiéndose integrar ambas auditorias, la de calidad y seguridad de la Información en una misma auditoria si el tamaño de la empresa así lo aconseja.

Ambas normas ISO 9001 e ISO 27001 son complementarias y se potencias mutuamente de forma que la norma 27001 aporta a los requisitos de calidad principalmente:

Una evaluación de riesgos de la Seguridad de la Información

La evaluación del riesgo y su tratamiento es el paso más importante  en su proyecto de seguridad de la información. Aquí se establecen las bases para la seguridad de la información en la empresa.

Plan de tratamiento de riesgos

Además de identificar cada uno de los riesgos se establecerán los controles apropiados para gestionar el riesgo de manera sistemática de forma que consideremos todos los aspectos importantes para la empresa. Aquí se establecen además el cronograma de implantación, los recursos necesarios además del plan de auditorías.

NORMAS FACILMENTE INTEGRABLES CON ISO 27001

Estructura y Apartados de la norma ISO 27001

La norma ISO 27001 tras su última revisión permite entre otras cosas una mayor facilidad de integración con otras normas como la ISO 9001 y esquemas basados en sistemas documentales desarrolladas en base al anexo SL.

La estructura de la norma ISO 27001 para la Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

Destacamos que la norma ISO 27001 nos ofrece la confianza de que los riesgos son gestionados adecuadamente integrando los procesos de la seguridad de la información dentro de la gestión de una organización.

En este capítulo, la norma ISO 27001:2013 establece el obligatorio el cumplimiento de los requisitos especificados entre los capítulos 4 a 10 incluidos en el documento normativo como requisito para obtener una conformidad de cumplimiento y así poder certificase.

Como novedad sobre la versión ISO 27001:2005, la revisión 27001:2013 elimina como referencia normativa obligatoria el anexo 27002, quedando como única referencia los términos y definiciones contenidos en el texto del documento ISO 27001:2013.

Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola guía de términos y definiciones que sea consistente.

Como primer requisito de la norma ISO 27001:2013 se debe definir:

  • Los problemas o cuestiones externas que afectan a la capacidad para obtener los resultados previstos en el sistema de seguridad de la información.
  • Determinar las necesidades y expectativas de todas las partes interesadas.
  • Determinación del alcance del SGSI.

Para ello la alta dirección ha de demostrar su liderazgo y compromiso:

  • Elaborando una política de seguridad
  • Comunicar convenientemente a toda la organización los objetivos de la política de seguridad
  • Asignar roles, responsabilidades y autoridades dentro del sistema de seguridad de la información
  • Conseguir la contribución activa de toda la empresa en el sistema de la seguridad de la información

En este capítulo se establece como requisito la definición de los objetivos de seguridad mediante:

  • Análisis de evaluación de riesgos partiendo de las amenazas y vulnerabilidades
  • Plan de tratamiento del riesgo

Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:

  •  
  • Personal competente.
  • Conciencia y comunicación de todas las partes interesadas.
  • Documentación de los procesos.

Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.

Aquí se establecen los requisitos para evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información mediante controles de seguimiento, medición, análisis y evaluación de la seguridad de la información.

Se establecen para ello además los procesos de:

  • Auditorías internas periódicas
  • Proceso de revisión por parte de la dirección

Requisitos para los procesos de:

  • Seguimiento de No conformidades y Acciones correctivas.
  • Proceso de mejora continua.

¿Qué obtengo al contratar a INGERTEC

valor1

+ de 20 años
de experiencia

valor2

100% de empresas
certificadas a la primera

valor3

9 de cada 10 clientes
vuelven a contratarnos

valor4
Rápidos y eficientes.
Cumplimos con los plazos.
Contamos con la confianza de
Colaboramos con