ISO 27001: ¿Cómo es el proceso de implementación en las organizaciones?

Inicio / ISO 27001: ¿Cómo es el proceso de implementación en las organizaciones?

ISO 27001

El estándar ISO 27001 permite que las organizaciones implanten un Sistema de Gestión de Seguridad de la Información, también conocido como SGSI. Este sistema opera, monitorea, mantiene y mejora la seguridad de la información de las empresas.

En el momento en el que se decide implantar la ISO27001 hay que realizar una serie de pasos previos:

Reunión inicial: en ella fundamentalmente se procede a la identificación y conocimiento de todos los procesos internos llevados a cabo en la organización y de la documentación necesaria que permita establecer el alcance.
Auditoria inicial: para conocer cuál es la situación en temas de seguridad de la información, para desarrollar una planificación concreta para la organización y las líneas de actuación que se van a seguir.
Análisis y gestión de riesgos: mediante el cual se realiza un inventario de activos en el que se incluyan las amenazas, impactos, vulnerabilidades, etc. Gracias a etapa se desarrolla un plan para el tratamiento de riesgos.

Tras estos pasos, la organización está preparada para realizar la implementación del Sistema de Gestión de Seguridad de la Información según la ISO-27001. Los pasos para implantar el SGSI:

[sociallocker id=»16144″]

Alcance:

Es el primer paso para implantar un SGSI según la ISO 27001, en el que se define el alcance del sistema en la organización.

Para esto es interesante revisar cual es el estado inicial de la organización siguiendo los puntos establecidos en la norma, estableciendo cual es el punto inicial que actúe de referencia para realizar mediciones del progreso que está sufriendo el SGSI.

Las organizaciones serán las responsables de evaluar, aprobar y de distribuir la política de seguridad bajo la que se trabaja, la cual representa los objetivos y líneas que debe seguir en temas de seguridad de la información.

Es necesario que la Dirección se involucre en el proceso de implementación del SGSI para que este tenga resultados exitosos, por ello deberá decidir, apoyar, aprobar, encaminar y entregar los recursos necesarios para que el sistema alcance el éxito deseado.

Se deberá crear una estructura organizativa para la seguridad interna, en la que el líder será un responsable de seguridad y un comité de seguridad encargado de adoptar las decisiones más importantes referentes al SGSI.

Análisis de riesgos:

En este paso se creara un inventario de activos que este clasificado o categorizado, en el que se incluyan los activos de la organización que guardan algún tipo relación con la seguridad de la información.

Hay que hacer un tanteo de la probabilidad con la que se produce la amenaza, el impacto que genera y establecer el nivel de riesgo que es aceptado por la organización. Los riesgos que no sean aceptados por la organización deberán a ser tratados y es en este momento cuando se crea un plan de tratamiento de riesgos.

Ciclo PDCA:

Surge cuando se implanta el plan de tratamiento de riesgos que se desarrolló anterior.

Revisión por la dirección y auditoría interna:

Esta revisión la realiza el comité de seguridad de la organización y en ella se darán propuestas para conseguir cambios y mejoras.

Mejora:

Realizando análisis de las no conformidades que con anterioridad se hayan detectado de impide que se vuelvan a producir, consiguiendo por consiguiente mejorar el Sistema de Gestión de Seguridad de la Información basado en la ISO27001.
[/div][/sociallocker] La Plataforma Tecnológica ISOTools colabora con las organizaciones en el proceso de implantación del SGSI basado en el estándar internacional ISO-27001, a través de la automatización, gestión y control del sistema de gestión.