top of page

Generalidades compatibilidades de normas:

Estas normas Iso 27001 vienen  con un  modelo para el establecimiento y desarrollo y operación para tener un seguimiento  revision y mantenimiento y mejora de un sistema de seguridad de la información. esta implementacion la podemos visualizar por ejemplo proyectos que tengan la necesidad para sus clientes si es interno o externo.

 

Objetivo y campo de aplicación

  • La elaboración de las normas de seguridad en las organizaciones.

  • Algún metodó de gestion eficaz de la seguridad y desarrollar informes  y relaciones de empresas.

Referencias Normativas

  1. ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

  2. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.

  3. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

  4. ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande.

  5. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.

  6. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

Términos y Definiciones

 

En el año de 2013 es la más reciente que comenta que tiene unos cambios de su antecesora que los usuarios de  los Sistema de Gestión Seguridad de la Información tienen que asimilar para continuar  gestionando de forma eficaz la seguridad de la información.

 

  • Encontramos otras siglas en esta norma ISO 27001 PHVA: enfoque a procesos  con su respectiva metodología basada en el ciclo ahora ofrece mayor flexibilidad. Se elimina de algunos documentos conservando únicamente la declaración de aplicabilidad. Requisitos y controles. Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación.

Contexto de la organización

Encontramos 2 conceptos que los resumiré en estos términos;

 

primero Conocimiento de la organización y de su contexto; La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su Sistema de Gestión de la Seguridad de la Información.

 

Segundo Comprensión de las necesidades y expectativas de las partes interesadas; Los requisitos de las partes interesadas están orientados a la inclusión de los requisitos legales y reglamentarios y las obligaciones.

 

ISO 27001 es una norma que, recientemente, ha sido revisada dando lugar a una nueva versión, ISO 27001:2013. A  lo largo de un serial de artículos nos vamos a dedicar a analizar los requisitos del estándar revisado y conoceremos qué novedades incluye. Recordemos que la estructura de las nuevas normas que se están creando y de las que están siendo revisadas está adoptando una estructura común de alto nivel para facilitar la integración entre los distintos Sistemas de Gestión.

 

 

Liderazgo

En esta norma ISO 27001 encontramos liderazgo de compromiso, política, roles responsabilidades y autoridades en la organización. El año pasado esta norma  vigente dice que la alta dirección tiene la obligación de demostrar su liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información sin olvidar:
Asegurar que tanto la política de seguridad como los objetivos de seguridad sean establecidos y, al mismo tiempo que dichos objetivos sean compatibles con la dirección estratégica de la organización.
Asegurar que los requisitos del Sistema de Gestión de Seguridad de la Información están integrados en los procesos de la organización.
Garantizar la disponibilidad de los recursos necesarios para el Sistema de Gestión de Seguridad de la Información.
Comunicar la importancia de: una gestión de la seguridad de la información eficaz y la conformidad con los requisitos del SGSI.
Afirmar que el SGSI va a lograr alcanzar los resultados previstos.
Contribuir a la eficacia del SGSI mediante el apoyo a las personas.
Promover la mejora continua.
Apoyar otros roles pertinentes de la dirección, y así demostrar su liderazgo aplicado a sus áreas de responsabilidad.

 

Planificación

Acciones para tratar riesgos y oportunidades, en el que se detallan los requerimientos para la evaluación de riesgos y el plan de tratamiento de los mismos. Escribiremos sobre la evaluación de riesgos y en el siguiente post veremos los aspectos del plan de tratamiento. Acciones para tratar riesgos y oportunidades; Un sistema de seguridad de la información, la organización debe tener en cuenta las cuestiones relacionadas con el apartado. Conocimiento de la organización y de su contexto, así como los requisitos establecidos en el punto. Comprensión de las necesidades y expectativas de las partes interesadas. Se debe determinar y establecer un proceso de evaluación de riesgos de la seguridad de la información que, Implante y mantenga medidas de riesgo.

 

Soporte

Es una sección compuesta de varios sub apartados, de los que hoy trataremos los siguientes: Recursos; Según  la organización deberá identificar y proporcionar todos los recursos que se necesitan para el establecimiento, implementación, mejora continua y mantenimiento del Sistema de Gestión de la Seguridad de la Información. Competencia; Identificar qué competencia personal es la necesaria para realizar cada trabajo que afecta al desempeño de la seguridad de la información. 

 

Evaluación y Desempeño

En la nueva versión se puede observar un refuerzo de los requisitos de vigilancia y medición de  la eficiencia. Anteriormente en la anterior versión trataba de una clausula interna en la revisión general 2005. Esto implica que se hace necesario identificar y describir y poder documentar la eficiencia de los controles.

Mejora

Las acciones preventivas desaparecen con este nombre aunque se puede decir que pasa con los aportados de valuación y tratamiento de riesgos de la cláusula de planificación. Las no conformidades pueden definirse como todo que se desvía del SGSI y los controles establecidos, cubriendo no solo los incidentes y su manejo, si no otro tipo de conformidades. 

Auditoria De sistemas

Grupo  30102

© 2023 by Lawyer & Lawyer.Proudly created with Wix.com

FOLLOW US:

  • w-facebook
  • Twitter Clean
bottom of page