The document discusses the ISO/IEC 27001 standard for information security management systems (ISMS). It states that an ISMS under ISO/IEC 27001 establishes, implements, operates, monitors, reviews, maintains and improves information security as part of an organization's overall risk management system. It also requires adopting a process to establish, implement, operate, monitor, review, maintain and improve the ISMS.

1. Norma UNE-ISO/IEC 27001
JoselinYalixa Quintanilla Aguilar

2. Un Sistema de Gestión de Seguridad de la Información (SGSI),
según la Norma UNE-ISO/IEC 27001, es una parte del sistema
de gestión general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la
información. Esto significa que se va a dejar de operar de una
manera intuitiva y se va a empezar a tomar el control sobre lo
que sucede en los sistemas de información y sobre la propia
información que se maneja en la organización. Nos permitirá
conocer mejor nuestra organización, cómo funciona y qué
podemos hacer para que la situación mejore.

3. Es normal que la Norma UNE-ISO/IEC 27001 exija que se
adopte un proceso para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar el SGSI en una
organización. Es decir, hay que diseñarlo, ponerlo en marcha,
comprobar que se obtienen los resultados esperados y, en
función de esa evaluación, tomar acciones para corregir las
desviaciones detectadas o intentar mejorar la situación, en
este caso, la seguridad de la información.Y todo ello de una
manera ordenada y metódica, mediante un proceso.

4. Requisitos aplicables de la norma en el SGSI
• Sistema de gestión de la seguridad de la
información.
• Responsabilidad de la dirección.
• Auditorías internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.

5. El sistema constará de una documentación en
varios niveles
• Políticas, que proporcionan las guías generales de actuación en cada caso.
• Procedimientos, que dan las instrucciones para ejecutar cada una de las
tareas previstas.
• Registros, que son las evidencias de que se han llevado a cabo las
actuaciones establecidas.

6. El SGSI contará con los siguientes documentos:
• Política de seguridad, que contendrá las directrices generales a
las que se ajustará la organización en cuanto a seguridad, así como
la estrategia a seguir a la hora de establecer objetivos y líneas de
actuación. La política estará alineada con el resto de los objetivos
del negocio y políticas de gestión que existan en la organización.
Esta política estará aprobada por la dirección.
• Inventario de activos, que detallará los activos dentro del
alcance del SGSI, así como los propietarios y la valoración de tales
activos.
• Análisis de riesgos, con los riesgos identificados basándose en
la política de la organización sobre seguridad de la información y el
grado de seguridad requerido.

7. El SGSI contará con los siguientes documentos:
• Las decisiones de la dirección respecto a los riesgos identificados,
así como la aprobación de los riesgos residuales.
• Documento de aplicabilidad con la relación de los controles que son
aplicables para conseguir el nivel de riesgo residual aprobado por la
dirección.

8. Implementación del SGSI
 Definición del alcance del SGSI
 Definición de la política de seguridad
 Identificación de los activos de información
 Definición del enfoque del análisis de riesgos
 Cómo escoger la metodología del análisis de riesgos
 Tratamiento de los riesgos
 Selección de controles
 Gestión de riesgos
 Declaración de aplicabilidad
 Implementación y puesta en marcha del SGSI
 Control y revisión del SGSI
 Mantenimiento y mejora del SGSI

9. LA NORMA –ISO/27001 ADAPTA EL MODELO PDCA
El modelo PDCA es un ciclo de mejora continua: planear,desarrollar,comprobar,y actuar
de esta manera se consigue mejorar el sistema.
Plan: establecer el SGSI.
Do: implementar y utilizar.
Check: monitorear y revisar el SGSI.
Act: mantener y mejorar el SGSI.