NTC ISO 27001

Descripción

¿Qué es la NTC ISO 27001?

SISTEMA DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN O SGSI

La NTC ISO 27001 es una norma colombiana que hace posible que las organizaciones aseguren la confidencialidad y al mismo tiempo la integridad de toda la información que tengan.

La versión internacional de la norma que está vigente es la ISO 27001:2013 y es sin dudarlo, el referente mundial a la hora de implementar un Sistema de Gestión de la Seguridad de la Información.

El objetivo de la implementación de un SGSI según NTC ISO 27001 no es otro que evaluar los riesgos y aplicar los controles existentes para lograr su reducción o eliminación total.

Con la ISO 27001, las organizaciones de Colombia o del resto del mundo, pueden lograr una ventaja competitiva y por supuesto mejorar la imagen de marca.

Cabe destacar que en la familia de normas ISO 27000, encontramos la ISO 27002 que es muy útil ya que define buenas prácticas.

Norma NTC ISO 27001

ESTRUCTURA DE LA NORMA NTC ISO 27001

La NTC ISO 27001, sigue la Estructura de Alto Nivel, también conocida como Anexo SL. A continuación hablaremos de cada uno de sus apartados

  1. Objeto y campo de aplicación: Es el primer apartado de la norma y queda esablecidas las orientaciones necesarias para el uso, finalidad y aplicación de la normativa.
  2. Referencias normativas: En este punto se indica que es importante recurrir a documentos relacionados con la seguridad de la información.
  3. Términos y Definiciones: En esta cláusula queda descrito la terminología que se utiliza a lo largo de la norma
  4. Contexto de la OrganizaciónEs un apartado muy importante, permite que las organizaciones conozcan el contexto en el que están desarrollando su actividad, tanto externo como interno. De este modo pueden conocer qué necesitan sus clientes y adoptar medidas para cubrir estas necesidades.
  5. Liderazgo: La alta dirección, a través del liderazgo y compromiso, tienen la obligación de hacer que todo el personal involucrado en el Sistema de Gestión de Seguridad de la Información participe activamente en la implementación de la norma ISO 27001.
  6. Planificación: En este apartado se ve reflejada la importancia de la identificación y los riesgos cuando se va a realizar una planificación del SGSI, así como los objetivos y la manera que se va a emplear para alcanzarlos.
  7. Soporte: Destaca que para que un Sistema de Gestión de Seguridad de la Información funcione con éxito, es precioso tener los recursos suficientes, además de contar con las competencias, información y comunicación adecuada.
  8. Operación: El cumplimiento de los requisitos de un SGSI se logra a través de la planificación, implementación y control de los procesos organizacionales, llevando a cabo una valoración de los riesgos los que se somete la seguridad de la información y por supuesto, el posterior tratamiento.
  9. Evaluación del desempeño: Este apartado de la norma hace mención a la importancia que hay en hacer un seguimiento, medición, análisis, evaluación, auditoría interna y revisión por la dirección del SGSI para que nos asegure que funciona según lo planificado.
  10. Mejora: Se trata del último apartado según establece la estructura de alto nivel y en el queda establecida la necesidad de que las organizaciones trabajen por la mejora continua, es decir, que sean capaces de detectar No Conformidades y saber qué medida adoptar para ponerle solución y así, mejorar continuamente el Sistema de Gestión de Seguridad de la Información.

Novedades de la NTC ISO 27001

Tras la última revisión, se modificaron algunos requerimientos de la norma ISO 27001 si la comparamos con la anterior edición. Por lo tanto las organizaciones en Colombia han tenido que llevar a cabo un proceso de transición que les permitiera adaptarse a los requisitos de la versión vigente para que el Sistema de Gestión de Seguridad de la Información siguiese operando eficazmente.

Entre las novedades a destacar:

    • Desaparece el apartado denominado “Enfoque a procesos”, la ventaja actual es que permite mayor flexibilidad ya que no impone la metodología PHVA.
    • El carácter obligatorio de ciertos documentos se suprime y simplemente es obligatoria la declaración de aplicabilidad.
    • Los requisitos y controles han sido revisados, por lo que hay cambios destacables.
    • En la fase de planificación y operación del Sistema de Gestión de Seguridad de la Información, se opta por el enfoque del análisis del riesgo.

Software para NTC ISO 27001

LA PLATAFORMA ISOTOOLS FACILITA LA AUTOMATIZACIÓN DE NTC ISO 27001

La NTC ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es simple a la hora proceder a la implementación, automatización y mantenimiento gracias al software ISOTools.

ISOTools hace posible que las organizaciones cumplan con los requisitos establecidos por la NTC ISO27001 y además cumple de un modo complementario con las buenas prácicas y controles definidos por la ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información que estén vigentes en Colombia.

Esta plataforma tecnológica integra ISO 27001 con normas de calidad, medio ambiente o seguridad y salud ocupacional como ISO 9001, ISO 14001 y ISO 45001.

Ventajas

Razones para automatizar la ISO 27001 con ISOTools

  • Garantiza la confidencialidad, integridad y disponibilidad de los datos.
  • Permite conocer los riesgos de seguridad de la organización para poder dirigir inversiones a esos riesgos.
  • Logra un equilibrio entre la seguridad física, técnica, procedimental y de personal.
  • Permite establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) integrable con otros sistemas de gestión previos o futuros.
  • Mejora la eficacia y eficiencia en la gestión, reduciendo costes.
  • Permite el ahorro de recursos dedicados a la implementación y mantenimiento del Sistema de Gestión ISO 27001.
  • Simplifica y reduce la documentación y registros, eliminando la burocracia.
  • Mejora la percepción y la implicación del personal en el sistema de gestión.
  • Permite la gestión y distribución práctica de tareas y responsabilidades con sistema de avisos y alarmas escalable.
  • Permite la organización y gestión de toda la documentación de la empresa, reduciendo riesgos y evitando multas y sanciones.
  • Utiliza potentes herramientas para planificación y seguimiento de actividades.
  • Permite la automatización de matrices de evaluación, lo que simplifica el diseño del sistema.
  • Utiliza herramientas visuales para el seguimiento de los controles de seguridad.
  • Permite poner el foco en esfuerzos e inversiones ante los riesgos.

Funcionalidades

¿Qué aplicaciones posee la automatización del Sistema de Gestión de la Seguridad de la Información ISO 27001?

Evaluación de Seguridad de la Información

Evaluación de riesgos de los activos de la organización utilizando la metodología designada por la empresa.

Controles 27002

Autoevaluación de los controles mencionados en la norma ISO 27002, para ver en qué estado se encuentra la empresa.

Salvaguardas

Establecimiento de salvaguarda para realizar el Plan de tratamiento de riesgos, estableciendo fechas de puesta en marcha de las mismas y responsabilidades.

Métricas e Indicadores

Seguimiento y medición que permite ver el camino por el que se alcanza a comprobar el estado en el que se encuentra nuestro sistema de gestión.

Cuadro de Mando

Gracias al tratamiento de la información, seremos capaces de poder analizar los datos desde distintos puntos de vista, pudiendo relacionar los distintos indicadores entre sí, mejorando la toma de decisiones.

Objetivos y Metas

Establecimiento de programas de Gestión Laboral.

Gestor documental

Revisión, aprobación, control de cambios y de versiones. Gestión de documentos en vigor / obsoletos. Distribución de documentos. Gestión de registros.

Recursos Humanos

Aseguramiento de las competencias. Definición de puestos y roles. Gestión de currículums. Definición de las responsabilidades y autoridades dentro de la organización.

Capacitación

Establecimiento del Plan de Formación. Evaluación de la eficacia de las acciones tomadas.

Procesos

Enfoque basado en procesos. Descripción de los procesos y su interacción entre ellos.

Artículos relacionados

Artículos relacionados

ISO 27001

¿Qué beneficios ofrece la implementación de la norma ISO 27001 en el sector público?

24 noviembre, 2017
Raquel Toro
Destacado

ISO 27001 La norma ISO 27001, en el sector público, cada día se aplica más como referente para conseguir la…

Read more
implementar ISO 27001

Beneficios y pasos para implementar ISO 27001

17 enero, 2017
Autorww
Artículos Técnicos

La seguridad de la información Implementar ISO 27001 es un tema que va más allá de cumplir simplemente con la normativa…

Read more
10 Ventajas de la gestión integrada de sistemas para la organización

10 Ventajas de la gestión integrada de sistemas para la organización

25 octubre, 2016
Autorww
Destacado

Gestión integrada de sistemas La gestión integrada de sistemas simplifica de manera notable la gestión de las organizaciones, ayudando a lograr una…

Read more

¿Por qué es importante la gestión de riesgos para tu empresa?

13 marzo, 2015
Autor2
ISO 27001
gestion-riesgosGestión de riesgos Corporativos Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compañía para alcanzar los objetivos propuestos y mejorar su competitividad. Por «riesgo empresarial» entendemos todos los elementos que pueden […]
Read more

Webinars y eventos relacionados

Webinars y eventos relacionados

Volver arriba