ISO 27001 Gestión en la entrega de servicios por terceros y planificación de los sistemas
contacto
Quality & Performance Management Software Demo Login +34 957 102 000
Blog Calidad y Excelencia

ISO 27001 Gestión en la entrega de servicios por terceros y planificación de los sistemas

ISO 27001

ISO 27001, al igual que el resto de normas de la familia ISO 27000, se ocupa de numerosos aspectos relativos a la Seguridad de la Información. Entre esos aspectos se encuentran los que se detallan en este post: la gestión de la entrega de servicios realizada por terceros y la planificación y admisión del sistema.

Ambos son temas que mantienen en vilo a multitud de PYMEs, y que de no ejecutarlas correctamente podrían poner en peligro una buena parte de la información que estas manejan.

cta BTN 27

Descarga gratis e-book: La norma ISO 27001

Gestión de la entrega de servicios realizada por terceros

Todas las organizaciones deberían tener un control sobre los servicios entregados, y verificar que la entrega se ha realizado según los requisitos acordados previamente.

Si la entrega de servicios se realiza mediante terceros, existirá un contrato en el que se expongan los compromisos respecto a la ejecución de los controles de seguridad apropiados y siempre en consonancia con el SGSI de ISO-27001. Antes de establecer ningún control es necesario realizar una evaluación de riesgos para garantizar que el servicio de entrega cumple con los niveles acordados.

Si estos terceros que hemos contratado necesitasen para el desempeño de su actividad que la organización le ceda información sensible, ésta deberá haber definido con anterioridad unos requisitos que ofrezcan la garantía de que no se va a afectar ni su confidencialidad, ni su integridad ni su disponibilidad.

Como medida de seguridad, si la empresa lo quiere así, se llevarán a cabo auditorías internas a los terceros contratados. Es un método para asegurar que están gestionando correctamente los incidentes de seguridad, que tienen un plan de continuidad de negocio apropiado y respetan los requisitos que establece el Sistema de Gestión de Seguridad de la Información ISO27001.

Finalmente, cuando dentro de una organización se produzca algún cambio, como puede ser en la evaluación de riesgos o en las políticas y procedimientos de la misma, que afecte a los servicios que prestan terceros, se debe supervisar su implantación.

Sea cual sea el servicio que una organización externalice, ésta tiene la obligación de planificar la transferencia de información que necesiten las terceras partes para asegurar que van a mantener los niveles de seguridad apropiados.

Planificación y admisión del sistema

Para garantizar la disponibilidad y capacidad del sistema se necesita una planificación previa para que funcione correctamente.

En esta planificación hay que tener en cuenta tanto los requisitos de capacidad futuros de los sistemas como los requisitos operacionales de los nuevos sistemas.

Cada actividad necesita de unos recursos que den respuesta a unas necesidades identificadas.

Por ello, resulta esencial prever los requisitos que el sistema necesita o va a necesitar para garantizar el comportamiento que se espera de él, y además considerar las nuevas actividades que puedan aparecer o actualizaciones de los sistemas ya existentes.

Cualquier actualización o un nuevo sistema no deben ponerse en marcha sin que antes sea aceptado formalmente. Para que esto ocurra se deben cumplir:

  • Requisitos de funcionamiento.
  • Procedimientos de recuperación y contingencia.
  • Éxito de pruebas acordada.
  • Requisitos de seguridad.

Además, se debe considerar el efecto que tendrá instalar un nuevo sistema en el resto de sistemas y en el conjunto global de la seguridad.

Sistema de Gestión de Riesgos y Seguridad

Si le gustaría saber más sobre la norma ISO 27001 u otras relacionadas con la familia de riesgos y seguridad visite: https://www.isotools.org/normas/riesgos-y-seguridad/

CTA 27

cta 27

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR