ISO 27001

En el artículo anterior, hablamos sobre la parte III del análisis de la nueva versión de ISO27001: el soporte. En el artículo de hoy vamos a hablar sobre la operación.

Esta cláusula relacionada con la operación determina cómo garantizar el funcionamiento del Sistema de Gestión de Seguridad de la Información -SGSI-, una vez haya finalizado la fase relacionada con la construcción.

Las secciones que se contemplan en este punto son:

• Planificación operativa y control

En esta subcláusula se determina qué es necesario para las empresas implementar, controlar y planificar los procesos para garantizar los requisitos e implantar las acciones necesarias para la gestión del riesgo. La empresa debe implantar los planes para el logro y consecución de los objetivos de seguridad establecidos.

Para tener plena confianza en los procesos del SGSI, las organizaciones deben mantener un registro y proceder a una buena gestión según lo planificado. También debe, en su caso, modificar controles o revisar las consecuencias de los cambios imprevistos para evitar cualquier efecto desfavorable cuando sea totalmente necesario.

• Análisis del riesgo

Se trata de un proceso reiterado que debe ajustar las decisiones de las empresas o proponerse cambiar el “apetito de riesgo” según se logren los resultados que pongan de manifiesto la gestión del control de los riesgos.

Por lo tanto, se debe realizar un proceso de identificación y reconocimiento del riesgo a intervalos planificados o cuando se produzcan cambios importantes, tomando acciones según los criterios de aceptación del riesgo.

• Tratamiento del riesgo

Las organizaciones deben implantar el plan de tratamiento del riesgo. Conforme se vayan logrando ciertos objetivos, se irán modificando los criterios de aceptación del riesgo, haciendo que los planes de un año para otro se vayan actualizando con el objetivo de reflejar la nueva toma de decisiones.

Por ello, la seguridad de la información implica la realización continuada del plan de tratamiento. Este plan debe ser revisado anualmente.

ISOTools es una plataforma tecnológica que colabora con las empresas en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO27001 mediante su automatización, gestión y control.