UNE-ISO/IEC 27001

1. La norma UNE-ISO/IEC 27001 especifica los requisitos para la creación, implementación, supervisión y mantenimiento de un SGSI (Sistema de Gestión de Seguridad de la información) en una organización.

2. SGSI Sistema de gestión de la seguridad de la información Para una organización. Un SGSI es el diseño, implantación, mantenimiento y mejora de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información. Buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando los riesgos en la seguridad de la información.

3. Requisitos generales del sistema de gestión de la seguridad El éxito de un proyecto de implementación de un SGSI esta fuertemente ligado a la habilidad del promotor de asignar los recursos justos y necesarios para diseñar un sistema adecuado a las necesidades de la organización. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.

4. • Sistema de gestión de la seguridad de la información La norma UNE-ISO/IEC 27001 adopta el modelo PDCA (Plan, Do, Check, Act) para implementar un SGSI. Este es un ciclo de mejora continua y de esta manera se consigue mejorar el sistema o refinarlo.

5. • Sistema de gestión de la seguridad de la información Definir el alcance del SGSI Definir políticas de seguridad Identificar los activos de información Definir enfoque de análisis de riesgos Metodología de análisis de riesgos Plan Tratamiento de los riesgos Selección de controles Gestión de controles Declaración de aplicabilidad Implementación y puesta en marcha Mantenimiento y mejora Control y revisión del SGSI Do Check Act

6. • Responsabilidad de la dirección. Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Proporcionar recursos suficientes para implementar, mantener y mejora el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.

7. • Auditorías internas del SGSI. Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas • Los criterios de la auditoría. • El alcance, si va a ser global o parcial. • La frecuencia de realización de las auditorías. • Los métodos que se van a utilizar para hacer las auditorías.

8. • Revisión del SGSI por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores Las entradas a la revisión pueden ser: • Los resultados de las auditorías y las revisiones del SGSI. • El estado de las acciones preventivas y correctivas. • Las vulnerabilidades o amenazas que no se han tratado adecuadamente • Los resultados de las métricas de efectividad. • Las acciones de seguimiento de anteriores revisiones por la dirección. • Cualquier cambio que pudiera afectar al SGSI. • Recomendaciones para la mejora.

9. • Mejora del SGSI La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Es un punto fundamental en cualquier sistema de gestión según las normas ISO. Este concepto también es crucial en todos los modelos de mejora de procesos o negocio que existen.

10. Documentación Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema. El sistema constará de una documentación en varios niveles • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.

UNE-ISO/IEC 27001

UNE-ISO/IEC 27001

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(19)

Similar a UNE-ISO/IEC 27001

Similar a UNE-ISO/IEC 27001(20)

Último

Último(18)

UNE-ISO/IEC 27001