|
 |
| ISO
27001 |
Código de buenas prácticas
para la Gestión de la Seguridad de la Información |
¿Qué
es ISO 27001?
Nos encontramos
en la sociedad de la información. La gestión
del conocimiento y del “know-how” son factores
importantes para las organizaciones, las cuales son cada
vez más conscientes que la información debe
estar bien protegida. Las especificaciones como KonTraG
de Gobierno Corporativo, Basilea II o Sarbanes Oxley,
tienen en común que se requieren nuevos mecanismos
para la protección de los datos como parte de la
gestión de riesgos.
Con un sistema de gestión de seguridad de la información
(SGSI) según la norma ISO/IEC 27001 (cuyo contenido
es compatible con la norma ISO 9001), las organizaciones
son capaces de identificar y gestionar los riesgos de
seguridad de la información.
DQS también incluye las apreciaciones basadas en
la norma ISO/IEC 20000, que integran las "mejores
prácticas" de acuerdo a ITIL®. Un certificado
DQS ofrece confianza en la seguridad de la información
en todos los servicios de apoyo y en la prestación
de servicios de procesos, tanto de clientes internos como
externos.
¿Quién
puede certificarse?
ISO/IEC 27001 es una norma adecuada para cualquier organización,
grande o pequeña, de cualquier sector o parte del
mundo. La norma es particularmente interesante si la protección
de la información es crítica, como en finanzas,
sanidad sector público y tecnología de la
información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones
que gestionan la información por encargo de otros,
por ejemplo, empresas de subcontratación de TI.
Puede utilizarse para garantizar a los clientes que su
información está protegida.
¿Cuáles
son los beneficios de la certificación?
El hecho de certificar un SGSI según la norma ISO/IEC
27001 puede aportar las siguientes ventajas a la organización:
| • |
Demuestra la garantía independiente de
los controles internos y cumple los requisitos de
gestión corporativa y de continuidad de la
actividad comercial. |
| • |
Demuestra independientemente que se respetan las
leyes y normativas que sean de aplicación. |
| • |
Proporciona una ventaja competitiva al cumplir
los requisitos contractuales y demostrar a los clientes
que la seguridad de su información es primordial. |
| • |
Verifica independientemente que los riesgos de
la organización estén correctamente
identificados, evaluados y gestionados al tiempo
que formaliza unos procesos, procedimientos y documentación
de protección de la información. |
| • |
Demuestra el compromiso de la cúpula directiva
de su organización con la seguridad de la
información. |
| • |
El proceso de evaluaciones periódicas ayuda
a supervisar continuamente el rendimiento y la mejora. |
Nota: las organizaciones que
simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones
de la norma del código profesional, ISO/IEC 17799
no logran estas ventajas.
¿Qué
se considera para calcular la duración en días
auditor de la certificación?
| • |
Cantidad y complejidad de la organización. |
| • |
Grado de riesgo de la información. |
| • |
Número de procedimientos y tecnología
aplicada. |
| • |
Número de sitios o procesos a certificar. |
| • |
Combinación con otras normas. |
| • |
Madurez del sistema de gestión. |
¿Cuál
es el proceso de la certificación por parte de
DQS?
Información inicial
| • |
Conocer DQS y sus servicios. |
| • |
Determinar los datos básicos necesarios
de la organización para la elaboración
de un presupuesto. |
Presupuesto y contrato
| • |
Elaboración de un presupuesto según
los datos básicos de la organización. |
| • |
Entrega del contrato. |
| • |
Entrega y confirmación del pedido. |
Preparación para el análisis del sistema
(in situ)
| • |
Verificación de la documentación. |
| • |
Explicación de las acciones requeridas
antes de la auditoría. |
| • |
Elaboración conjunta de las fechas de la
auditoría. |
Preauditoría opcional (in situ)
| • |
Si usted quiere reafirmar la madurez de su sistema,
puede solicitarnos una preauditoría opcional. |
| • |
Evaluación de las áreas y los procesos
definidos por el cliente. |
| • |
Extensión de la preauditoría opcional
definida por el cliente (días auditor). |
| • |
Informe escrito con potencial de mejora y acciones
requeridas. |
Auditoría de certificación (in situ)
| • |
Verificación y evaluación profunda
del sistema de gestión según los requerimientos
y encontrar potenciales de mejora. |
| • |
Informe escrito con el grado de cumplimiento de
la norma, potencial de mejora y acciones requeridas. |
Evaluación y Entrega del certificado
| • |
Evaluación del resultado de la auditoría
de certificación por parte del auditor líder
y la decisión final por parte del auditor
de DQS. |
| • |
Entrega del certificado después de decisión
positiva (vigencia anual). |
| • |
Verificación y evaluación del sistema
de gestión según requerimientos. |
| • |
Informe escrito con grado de cumplimiento de la
norma, potencial de mejora y acciones requeridas. |
La organización puede ser certificada en combinación
con otros sistemas de gestión.
|
|
|
