ISO 9000 ISO 27000
CONCEPTO un conjunto de normas de Control de calidad y gestión de
calidad, establecidas por la Organización Internacional de
Normalización (ISO). Se pueden aplicar en cualquier tipo
de organización o actividad orientada a la producción de
bienes o servicios. Las normas recogen tanto el contenido
mínimo como las guías y herramientas específicas de
implantación como los métodos de auditoría.
POLITICA La política de calidad consiste en un enunciado que
establece las líneas de acción en el cual la organización ha
decidido moverse.
Una definición más formal es la que ofrece la norma ISO
9000 al definir política de calidad como las intenciones
globales y dirección de una organización orientado a la
calidad, tal como lo expresa formalmente la alta dirección.
En la norma ISO 9001, el requisito 5.2 introduce la política
de calidad y lo hace a través de dos subclausulas:
5.2.1 Establecimiento de la política de calidad y 5.2.2
Comunicación de la política de calidad.
POLITICA La alta dirección debe establecer, implementar y mantener
DE CALIDAD una política de la calidad que:
sea apropiada al propósito y contexto de la organización y
apoye su dirección estratégica;
proporcione un marco de referencia para el establecimiento
de los objetivos de la calidad;
incluya un compromiso de cumplir los requisitos aplicables;
incluya un compromiso de mejora continua del sistema de
gestión de la calidad.
NORMAS DE Tu política de calidad debe ser medible.
CALIDAD Sé específico.
Hazlo fácil y simple.
Las series 27000 están orientadas al establecimiento de buenas prácticas en relación con la
implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la
Información (SGSI) o por su denominación en inglés Information Security Management
System (ISMS). Estas guías tienen como objetivo establecer las mejores prácticas en relación
con diferentes aspectos vinculados a la gestión de la seguridad de la información, con una
fuerte orientación a la mejora continua y la mitigación de riesgos.
La política de seguridad consiste en desarrollar el marco de actuación apropiado para
salvaguardar la información de la empresa. Su objetivo principal es indicar el propósito del
Sistema de Gestión de Seguridad de la Información (SGSI) y del documento en sí.
Acceso a la información que debe ser controlado y estar basado en el rol de la persona en la
empresa.El acceso a la información debe ser controlado y estar basado en el rol de la
personal en la empresa.Los servicios proporcionados deben ser seguros desde cualquier
punto de acceso cuando se conecte a la infraestructura de la compañía.Las medidas de
seguridad deben garantizar todos los requisitos de confidencialidad, integridad y
disponibilidad de información y servicios.Las medidas de seguridad deberán garantizar la
privacidad de los datos personas según la legislación que se encuentre vigente.La seguridad
de la información debe estar alienada con la empresa, los requisitos de seguridad de nuestros
clientes y las buenas prácticas de la industria.
En la cláusula 6.2 de la norma ISO 27001 establece todos los puntos que las empresas tienen
que cumplir a la hora de establecer los objetivos de seguridad de la información. Uno de los
más importantes es que sean medibles, para lo cual ayudará a tener presente los tres
principios claves de este estándar internacional:Confidencialidad: solo las personas
autorizadas para ello deben conocer los datos.Integridad: la información tiene que ser
completa, válida, veraz, exacta y no estar manipulada.Disponibilidad: la información ha de
ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando
la necesiten y garantizar su protección.