Las normas ISO son normas de "calidad" establecidas por la Organización Internacional para la Estandarización (ISO).
Aumento de la productividad. Mayor compromiso con los requisitos del cliente. Mejora continua. Más fácil acceso a grandes clientes y administraciones públicas. Mayor y mejor acceso a los mercados internacionales.
La familia de normas apareció por primera vez en 1987 teniendo como base una norma estándar británica (BS), y se extendió principalmente a partir de su versión de 1994, estando actualmente en su versión 2000.
Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.
Establece una metodología de gestión de la seguridad clara y estructurada. Reducir el riesgo de pérdida o robo de información. Dar confianza a los clientes. Dar una imagen de la empresa a nivel internacional. Reducir los costes y mejorar los procesos y servicios. Aumentar la motivación y satisfacción del personal.
Recorrido por este estándar: ISO 27000: contiene conceptos técnicos y de gestión. ISO 27001: requisitos del sistema de gestión de la seguridad de la información. ISO 27002: objetivos de control y controles recomendables. ISO 27003: guía de implementación de SGSI y modelo PDCA. ISO 27004: métricas y técnicas de medida en SGSI. ISO 27005: directrices para la gestión de riesgo. ISO 27006: requisitos para la acreditación de entidades de auditoría. ISO 27007, 27011, 27031, 27032, 27033, 27034, 27799.
EN GENERAL, CADA UNA SE ENCARGA DE UN OBJETIVO RELACIONADO CON LA SEGURIDAD DE L A INFORMACION.
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Su principal objetivo es la seguridad de la información, preservando su confidencialidad, integridad y disponibilidad, así como todo lo relacionado a su tratamiento.
Políticas de Seguridad. Organización de Seguridad. Gestión de Activos. Seguridad de los Recursos Humanos. Cumplimiento de políticas y normatividad legal.
Efectúa con los requisitos establecidos y demuestra a los clientes que la seguridad de su información es primordial.
Verifica que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Indica el compromiso de la administración con la seguridad de la información y ayuda a supervisar continuamente el rendimiento y la mejora.
La implementación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance.
ETAPAS DE IMPLEMENTACIÓN
Etapa 1 Implementación SGSI
La empresa debe centrarse en el desarrollo e implementación de un plan a medio y largo plazo que evite los posibles riesgos para la seguridad de la información.
Etapa 2 Certificación de la norma ISO 27001
Cuando la empresa considera que la implementación esta lista se debe pasar a la auditoria, la entidad de certificación verifica que cumpla con todos los requisitos que se establecen en la norma ISO 27001.
El auditor experto en el sector de la empresa, revisa el funcionamiento de la empresa. En caso de que el auditor observe diferencias, estas deberán ser corregidas por la empresa antes de que la entidad de certificación pueda emitir el certificado.
Una vez que tengan aprobados los certificados se deben someter a una revisión anual y someterse a una auditoria de renovación al tercer año.
FASES DE LA NORMA ISO 27001
Planificación
Implementación
Verificación Mantenimiento y Mejora
La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia, en caso positivo, emite el correspondiente certificado.
La ley Orgánica de Protección de Datos (LOPD), tiene como principal finalidad proteger derechos fundamentales de las personas, como son el derecho al honor, la intimidad personal y la propia imagen de todas las personas físicas.
Toda empresa que trate o tenga datos de carácter personal, de manera digital o aplicando un sistema de información debe cumplir con la LOPD.
