La norma ISO/IEC 27001 define los requisitos para un sistema de gestión de la seguridad de la información y ayuda a las organizaciones a proteger sus valiosos activos de información. La certificación según ISO/IEC 27001 demuestra que una organización ha seleccionado controles de seguridad adecuados y protege la información de sus clientes, otorgando confianza. La norma es adecuada para cualquier organización que desee gestionar adecuadamente los riesgos relacionados con la información y demostrar su compromiso con la seguridad
2. Descripción:
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia
de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos
activos de información.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad
de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y
proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los
clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y
mejorar un SGSI.
Para quien es significativo:
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del
mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad
sector público y tecnología de la información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo,
empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.
3. Ventajas:
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:
*Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de
continuidad de la actividad comercial.
*Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
*Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrara los clientes que la seguridad de
su información es primordial.
*Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y
gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
*Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
*El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora.