La ISO/IEC 27001 Especifica los requisitos necesarios para establecer, implantar mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática.
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI), también es muy eficaz para organizaciones que gestionan la información por encargo de otros, Puede utilizarse para garantizar a los clientes que su información está protegida
La certificación es un proceso mediante el cual una entidad de certifacion externa, independiente y acreditada audita el sistema, determinando su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. El hecho de certificar puede aportar las siguientes ventajas a la organización:
· Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
· Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
· Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
· Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
· Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
· El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas.
paginas visitadas por ultima ves el dia vienes 14/07
No hay comentarios:
Publicar un comentario