El documento habla sobre los sistemas de gestión de seguridad de la información (SGSI) según la norma ISO 27001. Explica que un SGSI utiliza un proceso sistemático y documentado para garantizar que la seguridad de la información se gestiona correctamente desde una perspectiva de riesgos. La norma ISO 27001 especifica los requisitos de un SGSI efectivo basado en el ciclo PDCA. Certificarse bajo ISO 27001 diferencia a una organización de la competencia y mejora la protección y cumplimiento de la información de la organización
El documento habla sobre los sistemas de gestión de seguridad de la información (SGSI) según la norma ISO 27001. Explica que un SGSI utiliza un proceso sistemático y documentado para garantizar que la seguridad de la información se gestiona correctamente desde una perspectiva de riesgos. La norma ISO 27001 especifica los requisitos de un SGSI efectivo basado en el ciclo PDCA. Certificarse bajo ISO 27001 diferencia a una organización de la competencia y mejora la protección y cumplimiento de la información de la organización
El documento habla sobre los sistemas de gestión de seguridad de la información (SGSI) según la norma ISO 27001. Explica que un SGSI utiliza un proceso sistemático y documentado para garantizar que la seguridad de la información se gestiona correctamente desde una perspectiva de riesgos. La norma ISO 27001 especifica los requisitos de un SGSI efectivo basado en el ciclo PDCA. Certificarse bajo ISO 27001 diferencia a una organización de la competencia y mejora la protección y cumplimiento de la información de la organización
Seguridad de la Informacin segn la Norma ISO 27001
Qu es un SGSI segn ISO 27001?
Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial, que constituye el SGSI (Sistema de Gestin de la Seguridad de la Informacin).
La norma UNE-ISO/IEC 27001 editada en noviembre de 2007 es un modelo certificable para la preservacin de la confidencialidad, integridad y disponibilidad de la informacin, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo PDCA, tradicional en los sistemas de gestin de la calidad. Es integrable con los sistemas ISO 9000 e ISO 14000.
La otra norma de la serie, ISO/IEC 27002, consiste en una serie de recomendaciones constituidas en un cdigo de prctica para los SGSI que pueden servir a una organizacin como punto de partida para desarrollar la gestin especfica de la seguridad de sus sistemas de informacin.
ISO 27000 es aplicable a cualquier organizacin que tenga el activo de la informacin y pueda beneficiarse de una puesta en prctica y certificacin de un Sistema de Gestin de Seguridad de la Informacin. Cubre todos los aspectos de intercambio de informacin, desde datos de ordenador a conversaciones en reas pblicas, incluyendo los permetros de seguridad y el nivel inicial de acceso del personal.
Valor aadido para su empresa
La diferenciacin sobre la competencia y el mercado. Mejora del conocimiento de nuestros sistemas de informacin, sus riesgos y los medios de proteccin. Proteccin de la informacin y cumplimiento legal sobre esta materia. Mejora la confianza de clientes y socios al aumentar las garantas de calidad, confidencialidad y disponibilidad. Reduccin de costes (econmicos y de imagen) vinculados a incidencies que afecten al tratamiento de la informacin. Acceso a oportunidades de negocio donde se valoren o incluso se exijan a los proveedores certificaciones reconocidas como por ejemplo con organismos gubernamentales y clientes de sectores especficos (banca, seguros, farmacuticas, salud, aeroespacial, etc.) Algunas licitaciones internacionales comienzan a solicitar una gestin ISO 27001. Los profesionales de ATISAE le ofrecen sus servicios para:
Disear, documentar e implantar el Sistema de Gestin segn los requisitos ISO 27001. Integrar el Sistema de Gestin de la Informacin con los sistemas UNE-EN-ISO 14001 y UNE-EN-ISO 9001, existentes o no en la compaa. Realizar diagnsticos de situacin de la empresa frente a cumplimiento con los requisitos de ISO 27001 y con los requisitos legales. Realizar auditoras internas. Formar a mandos y trabajadores en requisitos de ISO 27001. Formar a auditores internos de ISO 27001. Apoyo en la certificacin por terceros.
APO02 GESTIONAR LA SEGURIDAD
APO02.01 Entender la direccin de la empresa
Comprendiendo las necesidades y expectativas de las partes interesadas
La ISO indica que se tiene que comprender las necesidades de las partes interesadas y stas debern tener acceso a la informacin pertinente.
APO02.02 Evaluar el entorno actual, las capacidades y el rendimiento.
Roles organizacionales, responsabilidades y autoridades
La ISO nos indica que cada persona deber tener la capacidad de asignar roles y responsabilidades de acuerdo a su capacidad
APO02.03 Definir las capacidades de TI y sus objetivos
Acciones para dirigir los riesgos y oportunidades,
Evaluacin de riesgos de seguridad de informacin A- la ISO nos indica que se deben evaluar los riesgos y las oportunidades para guiar el direccionamiento del negocio.