ISO 27006 el estándar que garantiza la validez de las certificaciones de los SGSI

ISO 27006

Dentro de la familia de ISO 27000 la Organización Internacional de Estandarización (ISO) recoge un extenso número de normas. Entre ellas se encuentra ISO 27006.

Esta familia normativa contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.

El estándar normativo ISO 27006

El estándar normativo ISO 27006 se trata de una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar Sistemas de Gestión de Seguridad de la Información. Los procedimientos que se describen en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.

ISO 27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Concretamente se encarga de especificar los requisitos y suministrar una especie de manual para llevar a cabo la auditoría y la certificación del sistema.

De esta manera, cualquier organización que esté certificada en ISO 27001 debe cumplir también con los requisitos que establece la norma ISO 27006.

Esta norma de carácter internacional se puede utilizar como un documento de criterios para la acreditación, evaluación por pares u otros procesos de auditoría.

El proceso de certificación consiste en auditar el Sistema de Gestión de Seguridad de la Información para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen interés pasajero en los controles reales de seguridad de información que están siendo administrados por el sistema de gestión. Se supone que cualquier empresa con una queja del Sistema de Gestión de Seguridad de la Información, ha de gestionar sus riesgos de seguridad de información con diligencia.

Esta norma se publicó de nuevo en octubre de 2015 tras su última edición del año 2011. La nueva versión, que es la tercera, es diferente a la anterior, fundamentalmente debido a los cambios relevantes en las normas en las que se basa.

Los requisitos generales a los que hace referencia son:

• Orientación específica del Sistema de Gestión de Seguridad de la Información en relación con la imparcialidad.
• Listado del trabajo que pudiera estar en conflicto.
• Inclusión de una lista de todas las actividades que se pueden realizar fuera.

La importancia del funcionamiento de un Sistema de Gestión de Seguridad de la Información

Para el buen funcionamiento de un Sistema de Gestión de Seguridad de la Información es muy importante definir el alcance del sistema, adaptado y al caso concreto de la organización en la que se vaya a implantar. Una vez que se conoce el alcance del sistema se deben reconocer los activos de información que se quieren gestionar.

Se entiende por “activo de la información” a todo aquello que las entidades consideran importante o de alta validez para preservar la seguridad de la misma, ya que puede contener información importante como lo pueden ser: bases de datos con usuarios, contraseñas, números de cuentas, etc.

Los activos deben ser valorados para conocer cuál es su impacto dentro de la organización. Para conocer ese impacto se utiliza la herramienta de análisis de riesgos. Este procedimiento implica la identificación de las amenazas, vulnerabilidades y riesgos de la información.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de  mantener y mejorar con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para mantener y mejorar el Sistema Gestión de la Seguridad en la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.