ISO 27001

Definición norma ISO 27001

ISO 27001 es una norma internacional que permite el aseguramiento de la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

La norma ISO 27001 ermite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. A partir de ella se elabora la ISO 27701.

Estructura y apartados

1. Objeto y campo de aplicación. Orientaciones sobre el uso, finalidad y modo de aplicación.
2. Referencias Normativas. Recomienda la consulta de ciertos documentos indispensables para la aplicación.
3. Términos y Definiciones. Describe la terminología aplicable.
4. Contexto de la Organización. Primer requisito de la norma, recoge indicaciones sobre la organización y su contexto.
5. Liderazgo. Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma.
6. Planificación. Importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información.
7. Soporte. Para el buen funcionamiento del SGSI la organización debe contar con los recursos correspondientes.
8. Operación. Para cumplir con los requisitos se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos y un tratamiento de ellos.
9. Evaluación del Desempeño. Se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión para asegurar que funciona según lo planificado.
10. Mejora. Obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Beneficios ISO 27001

• Estructura el sistema de gestión. Un sistema de gestión certificado nos garantiza que nuestros procesos de seguridad estén estructurados y coordinados.
• Reducimos el riesgo de tener un incidente de seguridad. La certificación no significa «riesgo 0» o «ausencia total de riesgo». Sí, significa disponer de una herramienta eficaz para identificar los riesgos y minimizarlos y aumentar el nivel de seguridad. Además, si se llegara a producir un incidente, la certificación nos ayuda a reducir los daños y los costes al tener un plan de continuidad del negocio.
• Aseguramos a las empresas que cumplimos toda la legislación aplicable. En total, se deben superar 144 controles de gestión, tecnológicos y legales. De esos controles, 34 son de carácter legal, es decir, relativos al código penal, los datos personales, la propiedad intelectual, la firma electrónica o los servicios de la sociedad de información. Por tanto, la ISO 27001 es mucho más que una norma tecnológica.
• Aumenta el prestigio de la empresa. Actualmente, pocas empresas disponen de esta certificación, unas 800 en España.
• Mejora la confianza de los clientes en nuestros servicios y datos. Aplicar las mejores prácticas en materia de seguridad es una garantía para las partes interesadas y aumenta la confianza de los clientes.
• Facilita la homologación como proveedores. Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas auditorías cuando el cliente lo requiere, ya que la certificación demuestra que el sistema ha sido auditado por un tercero.