NORMA ISO 27001
NORMA ISO 27001
Sistema de Gestión de Seguridad de la Información
Es una solución de mejora continua en base a la cual puede
desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI)
que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en
peligro la información de una organización tanto propia como datos de terceros.
Es una norma que contiene los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Información. Con ella se garantiza el aseguramiento, confidencialidad e integridad de los datos, información y sistemas que gestionan dicha información.
Objetivos:
- Permite establecer los controles y estrategias más adecuadas para eliminar o minimizar dichos peligros.
- Analizar y gestionar los riesgos basados en los procesos. Resulta muy útil el análisis y la gestión de riesgos basados en los procesos ya que evalúa y controla a la organización en relación a los diferentes riesgos a los que se encuentra sometido el sistema de información.
Características
- Armonización con normas de sistemas de gestión como ISO 9001 y ISO 14001.
- Énfasis y continuo proceso de mejora de su sistema de gestión de seguridad de la información.
- Aclaración de requisitos para la documentación y archivos.
- Valoración de riesgos y procesos de gestión utilizando el Ciclo Deming.
Versiones:
- La International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission publicó la ISO 27001 en octubre de 2005 y hasta el momento se trata del único estándar internacional aceptado para realizar la gestión de la Seguridad de la Información.
- La última versión de la ISO-27001 fue publicada el pasado año 2013, en ella se aprecian algunos cambios referentes a la estructura, evaluación y tratamiento de los riesgos.
Gestión de riesgos:
Existen muchas ventajas y desventajas por cada uno, y en algunas empresas se adaptan mucho mejor a un método que a otro.
Existen cinco aspectos importantes de una evaluación de riesgos ISO 27001:
- Establecer el marco de evaluación de riesgos.
- Identificar los riesgos.
- Analizar dichos riesgos.
- Evaluar los riesgos.
- Seleccionar las opciones de gestión de riesgos.
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
Ciclo planteado por la ISO
Permite establecer los controles y estrategias más adecuadas para eliminar o minimizar riesgos.
La norma ISO 27001 es un sistema basado en enfoque basado en el Ciclo de mejora continua o Ciclo Deming, que consiste en Planificar-Hacer-Verificar-Actuar
Fases para la implementacion de un SGSI basado en la ISO 27001
En base a este sistema del Ciclo Deming, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI.
Resultados de la implementación de las Normas ISO 27001
- La armonización con normas de sistemas de gestión como ISO 9001 e ISO 14001.
- El énfasis en la mejora continua de procesos del sistema de gestión de seguridad de la información.
- La claridad en los requisitos de documentación y registros.
- Procesos de evaluación y gestión de los riesgos involucrados mediante el modelo del proceso Planificar, Hacer, Verificar, Actuar (PDCA, por sus siglas en inglés).
- La protección de los activos de la empresa, desde la información digital, los documentos y activos físicos (computadoras y redes) hasta los conocimientos de los empleados.
Bibliografía:
https://www.pmg-ssi.com/2018/05/importancia-implementar-norma-iso-27001/https://www.dnvgl.es/services/iso-27001-sistema-de-gestion-de-seguridad-de-la-informacion-3327
https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf
Comentarios
Publicar un comentario