Seguridad de la Informacin segn la Norma ISO 27001

Qu es un SGSI segn ISO 27001?

Para garani!ar "ue la seguridad de la informacin es gesionada correcamene# se de$e
%acer uso de un &roceso sisem'ico# documenado ( conocido &or oda la organi!acin#
desde un enfo"ue de riesgo em&resarial# "ue consiu(e el SGSI )Sisema de Gesin de
la Seguridad de la Informacin*+
,a norma -N./ISO0I.1 27001 ediada en no2iem$re de 2007 es un modelo cerifica$le
&ara la &reser2acin de la confidencialidad# inegridad ( dis&oni$ilidad de la informacin#
as3 como de los sisemas im&licados en su raamieno# denro de una organi!acin+ Para
esa$lecer ( gesionar un Sisema de Gesin de la Seguridad de la Informacin en $ase a
ISO 27001# se uili!a el ciclo P415# radicional en los sisemas de gesin de la calidad+
.s inegra$le con los sisemas ISO 6000 e ISO 17000+
,a ora norma de la serie# ISO0I.1 27002# consise en una serie de recomendaciones
consiuidas en un cdigo de &r'cica &ara los SGSI "ue &ueden ser2ir a una organi!acin
como &uno de &arida &ara desarrollar la gesin es&ec3fica de la seguridad de sus
sisemas de informacin+
ISO 27000 es a&lica$le a cual"uier organi!acin "ue enga el aci2o de la informacin (
&ueda $eneficiarse de una &uesa en &r'cica ( cerificacin de un Sisema de Gesin de
Seguridad de la Informacin+ 1u$re odos los as&ecos de inercam$io de informacin#
desde daos de ordenador a con2ersaciones en 'reas &$licas# inclu(endo los &er3meros
de seguridad ( el ni2el inicial de acceso del &ersonal+
8alor a9adido &ara su em&resa
,a diferenciacin so$re la com&eencia ( el mercado+
:e;ora del conocimieno de nuesros sisemas de informacin# sus riesgos ( los medios
de &roeccin+
Proeccin de la informacin ( cum&limieno legal so$re esa maeria+
:e;ora la confian!a de clienes ( socios al aumenar las garan3as de calidad#
confidencialidad ( dis&oni$ilidad+
<educcin de coses )econmicos ( de imagen* 2inculados a incidencies "ue afecen al
raamieno de la informacin+
5cceso a o&orunidades de negocio donde se 2aloren o incluso se e=i;an a los
&ro2eedores cerificaciones reconocidas como &or e;em&lo con organismos
gu$ernamenales ( clienes de secores es&ec3ficos )$anca# seguros# farmacuicas#
salud# aeroes&acial# ec+*
5lgunas liciaciones inernacionales comien!an a soliciar una gesin ISO 27001+
,os &rofesionales de 5>IS5. le ofrecen sus ser2icios &ara?
4ise9ar# documenar e im&lanar el Sisema de Gesin segn los re"uisios ISO 27001+
Inegrar el Sisema de Gesin de la Informacin con los sisemas -N./.N/ISO 17001 (
-N./.N/ISO 6001# e=isenes o no en la com&a93a+
<eali!ar diagnsicos de siuacin de la em&resa frene a cum&limieno con los re"uisios
de ISO 27001 ( con los re"uisios legales+
<eali!ar audior3as inernas+
@ormar a mandos ( ra$a;adores en re"uisios de ISO 27001+
@ormar a audiores inernos de ISO 27001+
5&o(o en la cerificacin &or erceros+
APO02 GESTIONAR LA SEGURIDAD
APO02.01 Entender la direccin de la empresa
Comprendiendo las necesidades y expectativas de las partes interesadas
La ISO indica que se tiene que comprender las necesidades de las partes interesadas y
stas debern tener acceso a la informacin pertinente.
APO02.02 Eal!ar el ent"rn" act!al# las capacidades $ el rendimient".
Roles orani!acionales" responsabilidades y autoridades
La ISO nos indica que cada persona deber tener la capacidad de asinar roles y
responsabilidades de acuerdo a su capacidad
APO02.0% De&inir las capacidades de TI $ s!s "'(eti"s
#cciones para diriir los riesos y oportunidades"
$valuacin de riesos de seuridad de informacin #% la ISO nos indica que se deben
evaluar los riesos y las oportunidades para uiar el direccionamiento del neocio.