ISO/IEC 27001:2013 es el estándar reconocido a nivel mundial para un sistema de gestión de seguridad de la información (SGSI). Un SGSI es un marco para informar el proceso de gestión de riesgos de una organización. La norma tiene por objeto:
La Tríada de la CIA incluye confidencialidad, integridad y disponibilidad. La confidencialidad trata de evitar el acceso o la divulgación no autorizados. La integridad se centra en salvaguardar la exactitud e integridad de la información, y los métodos de procesamiento. La disponibilidad se centra en garantizar que los usuarios autorizados puedan acceder a la información y a los métodos de procesamiento asociados. La pérdida de cualquiera de estos atributos puede causar daños comerciales y vergüenza.
Certificación ISO/IEC 27001:
De acuerdo con el Anexo SL, una estructura estándar de sistema de gestión debe considerar el alcance, las referencias normativas, los términos y definiciones, el contexto de la organización, el liderazgo, la planificación, el apoyo, la operación, la evaluación del desempeño y la mejora.
Los sistemas integrados de gestión deben cubrir el contexto de la organización, la responsabilidad, la autoridad, la competencia, la conciencia, la comunicación, la documentación, las auditorías internas, la revisión de la gestión, la no conformidad, las acciones correctivas, y la mejora continua.
Debe tener en cuenta varias áreas al pasar de ISO 9001 a ISO /IEC 27001.
Una organización necesita aprovechar el Anexo SL e implementar las cláusulas compartidas, una evaluación / tratamiento de riesgos de seguridad de la información y la Cláusula 4.4 – sistema de gestión de calidad (SGC) – y sus procesos, así como incluir las 14 áreas de proceso de SGSI en el SGC.
El siguiente paso es la documentación. Los siguientes requisitos le resultarán familiares si ha tratado con ISO 9001.
Debe proporcionar evidencia del proceso de evaluación de riesgos, resumir el marco de administración y tener declaraciones políticas, que incluyen un escritorio claro, criptografía y control de acceso.
La documentación operativa y de procedimiento específica, las responsabilidades y revisiones de gestión, la evidencia de efectividad, el monitoreo y la medición de los resultados son los siguientes.
Finalmente, debe tener un período de retención, recuperación, control de versiones, aprobación y propiedad adecuados.
Deberá considerar varios mapas de procesos, con los que podemos ayudarlo. Estos incluyen recursos humanos, gestión de incidentes, seguridad física, relaciones con proveedores, seguridad de operaciones, comunicaciones, control de acceso, sistemas de información y mapas de procesos de continuidad del negocio.
Como empresa de certificación líder y con experiencia en todas las principales industrias, entendemos los puntos débiles de cada sector y tenemos las habilidades técnicas y las capacidades logísticas para garantizar resultados realistas.
SGS Academy también ofrece una gama de servicios complementarios, que incluyen:
