Nombre: Diana González Tigrero

Curso: 10/1 Informática

Diferencias entre ISO 9000,9001 Y 27001

La norma ISO 9000 contiene las directrices para seleccionar y utilizar las normas
para el aseguramiento de la calidad, es decir, es la que permite seleccionar un
modelo de aseguramiento de calidad, entre las que se describen las ISO
9001/9002/9003.

ISO-9001: especifica los requisitos que debe cumplir un sistema de calidad,

aplicables cuando un contrato entre dos partes exige que se demuestre la
capacidad de un proveedor en el diseño, desarrollo, producción, instalación y
servicio posventa del producto suministrado, con la finalidad de satisfacer al
cliente.
ISO 9000: "Sistemas de gestión de calidad - Principios básicos y vocabulario".
La norma ISO 9000 describe los principios de un sistema de gestión de calidad
y define la terminología.

ISO 9001: "Sistemas de gestión de calidad - Requisitos". La norma ISO 9001

describe los requisitos relacionados a un sistema de gestión de calidad, ya sea
para uso interno o para fines contractuales o de certificación. Por lo tanto, esta
norma es un conjunto de requisitos que las compañías deben respetar.

Usar la ISO 9001 para implementar la ISO 27001

¿Ya ha implementado la norma ISO 9001? ¿Ha escuchado que la ISO
27001 podría ser una buena idea? Pero, ¿cómo algo que tiene que ver con la
calidad le puede ayudar a implementar la seguridad de la información?
Puede, más de lo que usted piensa… La norma ISO 9001 especifica cómo deben
ser los sistemas de gestión de calidad (SGC), mientras que la ISO/IEC 27001
especifica los sistemas de gestión de seguridad de la información (SGSI). Por lo
tanto, la parte de “sistemas de gestión” es la misma. Entonces, ¿de qué se trata
realmente?
La filosofía de los sistemas de gestión ha crecido a partir de la teoría desarrollada
por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el
ciclo de Planificación, Implementación, Revisión y Actuación (PDCA, por sus
siglas en inglés). Básicamente, este ciclo consiste en lo siguiente: en la fase de
Planificación usted debe planificar lo que desea lograr con el sistema de gestión;
en la fase de Implementación, lo implementa; en la fase de Revisión, controla
permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe
hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que
consiguió.
Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó
como base para todos los otros sistemas de gestión: seguridad de la información
(ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS
25999-2), etc. Quiere decir que algunos de los elementos que ha implementado
para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar
también para el sistema de gestión de seguridad de la información. Esta es la
lista:
Gestión de documentación: el procedimiento utilizado para la gestión de
documentación en el SGC puede ser usado con el mismo objetivo en el SGSI,
sólo con algunas pequeñas adaptaciones.
Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para
el SGSI; aunque la auditoría interna concreta generalmente sería realizada por
personas diferentes, ya que no es muy probable que una misma persona
conozca en profundidad tanto sobre seguridad de la información como sobre
calidad.
Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede
ser usado con el mismo objetivo en el SGSI, aunque es probable que sean
personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.
Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y
evaluación de RR.HH. se utiliza para ambos sistemas de gestión; naturalmente,
la diferencia radica en el perfil de capacidades y conocimientos requeridos.
Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se
fija el mismo mecanismo en ambas normas; por eso, la gerencia estará
acostumbrada a una planificación sistemática de este tipo.
Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitará el trabajo
de implementar la ISO 27001 (y viceversa): podría ahorrar hasta un 30% del
tiempo. Además, tendrá auditorías de certificación más económicas ya que las
entidades certificadoras ofrecen las denominadas «auditorías integradas», que
significa que auditarán las normas ISO 9001 e ISO 27001 en la misma auditoría,
cobrándole una tarifa menor en relación a auditorías separadas.
Si su SGC funciona correctamente, verá que el proyecto de SGSI se desarrollará
sin inconvenientes; la gerencia comprenderá mejor los potenciales beneficios
comerciales, al tiempo que todas las unidades de la organización estarán
acostumbradas a la necesidad de definir procedimientos, responsabilidades y
documentación precisos.
De hecho, contar con un SGC proporciona una muy buena base para la
seguridad de la información: si usted ya tiene la ISO 9001, piense seriamente en
la ISO 27001.