Saltear al contenido principal

ISO 27001 – Implantación en la empresa

ISO 27001

iso-27000

ISO 27001 adecúa el pensamiento de implantar un sistema de gestión de seguridad de la información (SGSI) que pueda operar, monitorear, mantener y mejorar la seguridad de la información.

Hay pasos previos importantes a la implantación, y que la empresa debe afrontar, que son los siguientes:

  • Reunión inicial para poder identificar y conocer los procesos internos de la organización, documentación de seguridad… con la finalidad de poder definir el alcance.
  • Auditoría inicial para estar al tanto de la situación en seguridad de la información de donde se va a adquirir una planificación personalizada y las primeras líneas de trabajo.
  • Análisis y gestión de riesgos para realizar un inventario de activos incluyendo amenazas, vulnerabilidades, impactos… De esta etapa deriva un plan de tratamiento de riesgos.

Con esto la empresa está a punto para implantar el SGSI fundamentado ISO-27001, siguiendo estos pasos:

  • Alcance

Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI.

Toda implantación de SGSI, ISO 27001, ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma.

Es sustancial evaluar, aprobar y distribuir la política de seguridad que constituya los objetivos y líneas a seguir en materia de seguridad de la información.

Es preciso que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema.

Se instaurará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome las decisiones de alto nivel relativas al SGSI.

  • Análisis de riesgos

La primera tarea es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad capaces de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta labor, clasificar o categorizar los activos.

Se debe examinar la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la empresa. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la misma.

De esta etapa trascenderá un plan de tratamiento de riesgos.

  • Ciclo PDCA

Es el momento de implantar el plan de tratamiento de riesgos que se fundó en la etapa antepuesta.

  • Revisión por la dirección y auditoría interna

La revisión es compromiso del comité de seguridad, y se propondrán cambios y mejoras.

  • Mejora

Mediante el examen de las no conformidades detectadas se pretende imposibilitar que éstas se vuelvan a producir, mejorando el SGSI, ISO27001.

ISOTools es una herramienta que prepara el proceso de implantación del SGSI, de la mano de ISO 27001, a través la automatización, gestión y control del sistema de gestión.

¿Desea saber más?

Entradas relacionadas

Volver arriba