Implantación de ISO/IEC 27001
Sistema de Gestión de Seguridad de la Información
Esta norma internacional se ha preparado para proporcionar los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación de un sistema de gestión de seguridad de la información por una organización esta condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizativos utilizados y su temario y estructura. Lo previsible es que todos estos factores condicionantes cambien con el tiempo.
El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos.
Es importante que el sistema de gestión de seguridad de la información forme parte y este integrado con los procesos de la organización y con la estructura de gestión global, y que la seguridad de la información se considere durante el diseño de procesos, de los sistemas de información y de los controles. Es de esperar que la implementación del sistema de gestión de seguridad de la información se ajuste a las necesidades de la organización.
Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad.
El orden en que esta norma internacional presenta los requisitos no es reflejo de su importancia ni implica el orden en el cual deben implementarse. Los diferentes elementos de cada listado se enumeran solo a titulo de referencia.
La Norma ISO/IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de normas de sistemas de gestión de seguridad de la información (incluyendo las Normas ISO/IEC 27003 [2], ISO/IEC 27004 [3] e ISO/IEC 27005 [4]), junto con los términos y definiciones relacionados.
Metodología:
- Asesoramiento integral
- Este tipo de asesoramiento responde a un acompañamiento desde el minuto 0 al 90 del partido.
- Iniciaremos los trabajos con una visita diagnóstico que nos permitirá ver realmente la actividad de su empresa, y determinar qué información vamos a necesitar para elaborar el Sistema de Gestión. Resultado de esta visita, planificaremos los trabajos y las sesiones de trabajo presenciales o de gabinete.
- Se iniciará el proyecto e iremos trabajando en línea gracias a herramientas online que nos permiten avanzar y trabajar simultáneamente, por ej. Trello.
- A la finalización de la implantación, realizaremos una auditoría interna que permita valorar el grado de interiorización del Sistema de Gestión, y aquellos flecos que falten por terminar.
- Haremos una revisión del sistema por la Dirección, y
- Por último, os acompañaremos en el proceso de certificación para que os sentáis cómodos la primera vez con el equipo auditor.
- Se estima un tiempo de 15 sesiones para un proyecto completo ( aprox. 3 meses ).
- Tutorización
- Este tipo de asesoramiento es más adecuado para aquellas empresas cuyo responsable del sistema de gestión esté ya más familiarizado con los sistemas de gestión (por haber trabajado anteriormente con ellos o por conocer sistemas de gestión en base a otras normas diferentes a la que se pretende implantar ahora)
- Se realizará una visita diagnóstico igual que en el primer caso, y se planificarán las sesiones.
- A diferencia de la anterior metodología, en esta, facilitaremos una documentación tipo y será el cliente quien la implante y adapte a su organización. Nosotros nos limitaremos a estar online y solventarles dudas de cómo implementar el sistema de gestión.
- Cuando todo esté listo, según el cliente, acudiremos a realizar la auditoría interna para evitar no conformidades mayores el día de la auditoría de certificación.
- El informe de revisión por la Dirección lo realizará el cliente.
- Acompañamiento a la auditoría de certificación opcional.
- Se estima un mínimo de 2 sesiones presenciales aunque el tiempo de implementación dependerá de la dedicación del cliente. Ya no está sólo en nuestras manos.
- Cesión de documentación
- Le facilitaremos una documentación tipo que deberá el cliente adaptar a su organización.
- Cuando todo esté listo, según el cliente, acudiremos a realizar la auditoría interna para evitar no conformidades mayores el día de la auditoría de certificación.
- El informe de revisión por la Dirección lo realizará el cliente.
- Acompañamiento a la auditoría de certificación opcional.
- Se estima un mínimo de 1 sesión presencial aunque el tiempo de implementación dependerá de la dedicación del cliente. Ya no está sólo en nuestras manos.
Últimas Noticias
- Un Paso Adelante en Seguridad Informática: EMASAGRA Supera la Auditoría ENS Nivel Medio7 mayo, 2024 - 10:23 am
DELEGACIONES
- MADRID • BARCELONA • JAÉN
- PAIS VASCO • ILLES BALEARS