Saltar al contenido principal

iso-27001

ISO 27001: ¿Cómo es el proceso de implementación en las organizaciones?

Portada » Blog Calidad y Excelencia » ISO 27001: ¿Cómo es el proceso de implementación en las organizaciones?

iso-27001

ISO 27001

El estándar ISO 27001 permite que las organizaciones implanten un Sistema de Gestión de Seguridad de la Información, también conocido como SGSI. Este sistema opera, monitorea, mantiene y mejora la seguridad de la información de las empresas.

En el momento en el que se decide implantar la ISO27001 hay que realizar una serie de pasos previos:

cta BTN 27

Descarga gratis e-book: La norma ISO 27001
  • Reunión inicial: en ella fundamentalmente se procede a la identificación y conocimiento de todos los procesos internos llevados a cabo en la organización y de la documentación necesaria que permita establecer el alcance.
  • Auditoria inicial: para conocer cuál es la situación en temas de seguridad de la información, para desarrollar una planificación concreta para la organización y las líneas de actuación que se van a seguir.
  • Análisis y gestión de riesgos: mediante el cual se realiza un inventario de activos en el que se incluyan las amenazas, impactos, vulnerabilidades, etc. Gracias a etapa se desarrolla un plan para el tratamiento de riesgos.

Tras estos pasos, la organización está preparada para realizar la implementación del Sistema de Gestión de Seguridad de la Información según la ISO-27001. Los pasos para implantar el SGSI:

[sociallocker id=»16144″]
  • Alcance:

Es el primer paso para implantar un SGSI según la ISO 27001, en el que se define el alcance del sistema en la organización.

Para esto es interesante revisar cual es el estado inicial de la organización siguiendo los puntos establecidos en la norma, estableciendo cual es el punto inicial que actúe de referencia para realizar mediciones del progreso que está sufriendo el SGSI.

Las organizaciones serán las responsables de evaluar, aprobar y de distribuir la política de seguridad bajo la que se trabaja, la cual representa los objetivos y líneas que debe seguir en temas de seguridad de la información.

Es necesario que la Dirección se involucre en el proceso de implementación del SGSI para que este tenga resultados exitosos, por ello deberá decidir, apoyar, aprobar, encaminar y entregar los recursos necesarios para que el sistema alcance el éxito deseado.

Se deberá crear una estructura organizativa para la seguridad interna, en la que el líder será un responsable de seguridad y un comité de seguridad encargado de adoptar las decisiones más importantes referentes al SGSI.

  • Análisis de riesgos:

En este paso se creara un inventario de activos que este clasificado o categorizado, en el que se incluyan los activos de la organización que guardan algún tipo relación con la seguridad de la información.

Hay que hacer un tanteo de la probabilidad con la que se produce la amenaza, el impacto que genera y establecer el nivel de riesgo que es aceptado por la organización. Los riesgos que no sean aceptados por la organización deberán a ser tratados y es en este momento cuando se crea un plan de tratamiento de riesgos.

  • Ciclo PDCA:

Surge cuando se implanta el plan de tratamiento de riesgos que se desarrolló anterior.

  • Revisión por la dirección y auditoría interna:

Esta revisión la realiza el comité de seguridad de la organización y en ella se darán propuestas para conseguir cambios y mejoras.

  • Mejora:

Realizando análisis de las no conformidades que con anterioridad se hayan detectado de impide que se vuelvan a producir, consiguiendo por consiguiente mejorar el Sistema de Gestión de Seguridad de la Información basado en la ISO27001.
[/div][/sociallocker] La Plataforma Tecnológica ISOTools colabora con las organizaciones en el proceso de implantación del SGSI basado en el estándar internacional ISO-27001, a través de la automatización, gestión y control del sistema de gestión.

CTA 27

cta 27

¿Desea saber más?

Entradas relacionadas

Cómo Operar En El Día A Día Con Un Sistema De Gestión De Riesgos
Cómo operar en el día a día con un sistema de gestión de riesgos

Sistema de Gestión de Riesgos Uno de los conflictos que tenemos cuando pensamos en riesgos es que creemos…

Ver más
Control De Seguridad De La Información
Control de Seguridad de la información en la nube de la nueva ISO 27002

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que…

Ver más
Control Interno
Elementos del Control Interno en la organización

Control Interno El sistema de Control Interno de la organización establece los medios necesarios para garantizar que la…

Ver más
Liderazgo Visible 45001
¿Qué dice ISO 45001 sobre liderazgo visible?

La norma ISO 45001. La norma ISO 45001 es un estándar internacional de gestión de seguridad y salud…

Ver más