ISO 27001
ISO 27001 adecúa el pensamiento de implantar un sistema de gestión de seguridad de la información (SGSI) que pueda operar, monitorear, mantener y mejorar la seguridad de la información.
Hay pasos previos importantes a la implantación, y que la empresa debe afrontar, que son los siguientes:
- Reunión inicial para poder identificar y conocer los procesos internos de la organización, documentación de seguridad… con la finalidad de poder definir el alcance.
- Auditoría inicial para estar al tanto de la situación en seguridad de la información de donde se va a adquirir una planificación personalizada y las primeras líneas de trabajo.
- Análisis y gestión de riesgos para realizar un inventario de activos incluyendo amenazas, vulnerabilidades, impactos… De esta etapa deriva un plan de tratamiento de riesgos.
Con esto la empresa está a punto para implantar el SGSI fundamentado ISO-27001, siguiendo estos pasos:
- Alcance
Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI.
Toda implantación de SGSI, ISO 27001, ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma.
Es sustancial evaluar, aprobar y distribuir la política de seguridad que constituya los objetivos y líneas a seguir en materia de seguridad de la información.
Es preciso que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema.
Se instaurará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome las decisiones de alto nivel relativas al SGSI.
- Análisis de riesgos
La primera tarea es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad capaces de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta labor, clasificar o categorizar los activos.
Se debe examinar la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la empresa. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la misma.
De esta etapa trascenderá un plan de tratamiento de riesgos.
- Ciclo PDCA
Es el momento de implantar el plan de tratamiento de riesgos que se fundó en la etapa antepuesta.
- Revisión por la dirección y auditoría interna
La revisión es compromiso del comité de seguridad, y se propondrán cambios y mejoras.
- Mejora
Mediante el examen de las no conformidades detectadas se pretende imposibilitar que éstas se vuelvan a producir, mejorando el SGSI, ISO27001.
ISOTools es una herramienta que prepara el proceso de implantación del SGSI, de la mano de ISO 27001, a través la automatización, gestión y control del sistema de gestión.
¿Desea saber más?
Entradas relacionadas
29 diciembre, 2017
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
22 diciembre, 2017
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
15 diciembre, 2017
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
8 diciembre, 2017
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…