ISO 27001:2007. Seguridad Para La Información

QUÉ ES…

La norma ISO 27001 responde al estándar para la seguridad de la información. Fue aprobado y publicado por primera vez en Octubre de 2005. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.

El estándar para la seguridad de la información ISO/IEC-27001 (Information Technology - Security Techniques - Information Security Management Systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

ISO/IEC-27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido "Ciclo de Deming": PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Objetivos

  • Demostrar la conformidad y la eficacia de las sistemáticas puestas en práctica para garantizar la confidencialidad, la integridad y la disponibilidad de la información incluida en el perímetro que engloba el SGSI.
  • Asegurar la continuidad del negocio y la minimización de daños en caso de incidentes.
  • Mejorar la eficacia organizativa y operativa

A QUIEN VA DIRIGIDA

La norma ISO 27001 es adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo.

La norma es particularmente interesante si la protección de la información es confidencial, como en finanzas, sanidad, sector público y tecnología de la información.

También puede ir dirigida a Organizaciones que gestionan la información por encargo de otros y se utiliza para demostrar a los clientes que su información está protegida.

Se puede ofrecer junto con la norma ISO 9001.

BENEFICIOS

  • El tener en posesión el certificado de la norma ISO 27001 demuestra que una organización externa y acreditada certifica que en dicha empresa se respetan las leyes y normativas que le son de aplicación.
  • Así mismo proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial para la empresa.
  • Permite al cliente verificar que los riesgos de la empresa están correctamente identificados, evaluados y gestionados así como la demostración de la dirección de compromiso con la seguridad de la información.
  • Crea el marco adecuado para que la información no se pierda ni sea transferida a personas o entidades no autorizadas.
  • Mejora el conocimiento de las Organizaciones sobre los flujos de información y datos.
  • Supone un avance inestimable en la disponibilidad bajo control de información y datos, interna y externa.
  • Reactiva y promueve la innovación tecnológica.
  • Reduce costes vinculados a incidencias con la gestión de la información.

Ventajas

La certificación acreditada según ISO / IEC 27001 demuestra el compromiso de la organización con la gestión de la seguridad de la información y ofrece, además, interesantes ventajas.  

  • Ventaja competitiva: puesto que cada vez son más las compañías que requieren la certificación según la norma ISO / IEC 27001 como requisito previo para hacer negocios. En estos casos, usted podrá hacer una declaración pública de su capacidad sin revelar procedimientos de seguridad  
  • Minimización de riesgos:  la adopción de los controles adecuados reduce los riesgos ante las amenazas contra la seguridad de la información y las deficiencias del sistema se reducen.

Otros Beneficios

  • Conocimiento real de los activos disponibles en la organización (Hardware y Software).
  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Los clientes tienen acceso a la información a través medidas de seguridad.
  • Los riesgos y sus controles son continuamente revisados.
  • Aumento de la confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Mejora en la imagen de empresa y elemento diferenciador de la competencia.
  • Confianza y reglas claras para las personas de la organización.
  • Reducción de costes y mejora de los procesos y servicio.
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
  • Disponer de planes de contingencias ante incidentes de seguridad en la información.
  • Disponer de planes de continuidad de negocio  y recuperación ante desastres.
  • Integración con otros sistemas de gestión tales como por ejemplo: ISO 9001, ISO 14001…
  • Mejora en el control de las personas.
  • Mejora en el registro de incidentes y debilidades.
  • Mejora en la gestión de continuidad del negocio.