ISO 27001 ¿Cómo implantar un SGSI en una PYME? Parte III

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001 Aspectos de la información que debe preservar una PYME

ISO 27001 Aspectos de la información que debe preservar una PYME

ISO 27001

ISO 27001, estamos viendo que puede implantarse en las PYMEs para que éstas dispongan de un SGSI con validez internacional y plenamente fiable y eficaz.

En artículos anteriores hemos descrito la metodología PHVA, aplicada a estas empresas y, concretamente, a todos sus procesos.

Después de la temática anterior es recomendable conocer qué tres características, asociadas a la información, debe preservar cada organización. Éstas son:

  • Confidencialidad

Esta característica se basa en la garantía de que la información sea accesible, únicamente para aquellas personas autorizadas a tener acceso.

  • Disponibilidad

Su fundamento primordial es asegurar que los usuarios autorizados tendrán acceso cuando lo necesiten a la información y a sus activos asociados.

  • Integridad

La información cumple con la integridad cuando se encuentra exacta y completa.

ISO 27001

Si se lleva a cabo una correcta gestión de la seguridad de la información se estará contribuyendo a la disminución de los riesgos que la organización soportaría, y a minimizar daños en los activos de la información, en caso de que algún riesgo se materializase.

Una vez que la organización está decidida a implantar un SGSI con ISO-27001 y tiene claro lo que debe preservar, es la hora de proceder para finalmente certificar y auditar el sistema.

El proceso de certificación consta de unas 6 etapas, pudiéndolas resumir del siguiente modo:

  • Pre-auditoría

Esta etapa es voluntaria, se puede realizar para obtener información sobre la situación actual de la organización y del sistema y así obtener una orientación sobre las posibilidades de superar la auditoría real.

  • Fase 1 de auditoría

Aquí se revisa el alcance, la política de seguridad, el análisis de riesgos, la declaración y aplicabilidad y los procedimientos clave.

  • Fase 2 de auditoría

En la fase 2 de la auditoría se lleva a cabo una revisión de las políticas, una auditoría de la implantación de los controles de seguridad y se verifica la efectividad del sistema.

  • Certificación

Si tras las fases anteriores se encontrara alguna no conformidad se deberán aplicar acciones correctivas, en caso contrario, si el informe resultante fuera favorable se procederá a la revisión y emisión del certificado.

  • Auditoría de seguimiento

Se ejecuta anualmente para mantener el SGSI de ISO 27001.

  • Auditoría de re-certificación

Cada tres años, se debe llevar a cabo una auditoría formal completa para renovar la certificación.

La Plataforma Tecnológica ISOTools está al servicio de cualquier PYME que desee automatizar su SGSI y llevar un adecuado control y seguimiento del proceso de certificación del mismo.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...