Las estrategias seguidas en la transición de ISO 27001:2005 a ISO 27001:2013

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Las estrategias seguidas en la transición de ISO 27001:2005 a ISO 27001:2013

Las estrategias seguidas en la transición de ISO 27001:2005 a ISO 27001:2013

 

ISO 27001

ISO 27001

Durante la transición de la norma ISO 27001:2005 a la nueva ISO 27001:2013 se pueden seguir diferentes estrategias de transición, de las siguientes que vamos a nombrar se puede utilizar la que mejor se adecue a la situación de cada organización:

  1. Un simple “make-over”, es decir, realizar los mínimos cambios necesarios en los procesos documentados del Sistema de Gestión de Seguridad de la Información ya existentes.
  2. Utilizar la transición en el Sistema de Gestión de Seguridad de la Información para realizar las mejoras necesarias, esto podría ser muy significativo para todas las organizaciones.

La transición según la primera situación se podría logar de una forma bastante rápida. Si tenemos en cuenta las mejoras de la norma ISO27001:2013 sobre su predecesor, se alienta a las empresas a que la transición se haga tan pronto como se pueda, en vez de aplazarla hasta el último momento. Sin embargo, una vez se haya realizado la planificación detallada de la transición, se pueden realizar algunas mejoras más.

Por lo que este proceso no es estático, sino que se puede modificar en función de las mejoras que se quieran ir introduciendo durante la transición. Por lo que las organizaciones pueden decidir si:

  • Resaltan la oportunidad de realizar cambios de cara al futuro para obtener mejoras.
  • Realizar cambios de forma inmediata con las que se verán los resultados en el momento.

El primer caso es más propio de una organización que adopta la estrategia de transición de una forma minimalista, mientras que la segunda opción es más probable que la utilice una organización que quiere usar la transición como una razón para hacer otros cambios.

Por donde comenzamos

En los dos casos, se debe buscar cual de ambos es el apropiado para tu organización, por lo que se debe realizar un análisis en el Sistema de Gestión de Seguridad de la Información existente y la nueva versión de la norma ISO-27001:2013.

Utilizaremos este análisis como base para realizar las tareas requeridas en el proyecto de transición. Se debe conocer como el Sistema de Gestión de Seguridad de la Información existente se ajusta a la nueva norma, además puede servir de ayuda identificar las áreas que cuenten con información documentada que será requerida para poder modificar la ya existente.

Los cambios en el Sistema de Gestión de Seguridad de la Información

Debemos recordar que los cambios que se generen en los documentos acutales deben quedar registrados con el fin de cumplir con la cláusula 7.5 de la norma ISO27001.

Información documentada

El término “información documentada” es un nuevo concepto que se aplica en la versión de la ISO 27001:2005 y ahora se ha modificado, se conoce como “documentos”. Durante la transición a la norma ISO 27001:2013, sólo se tiene que sustituir el término “documentos” y “registros” por el término “información documentada”. Si se hace alguna distinción, se deben reconocer los documentos en los que se encuentras las declaraciones de intenciones, ya que los registros son la evidencia de los resultados anteriores.

Política

En la norma ISO-27001:2005 encontramos un requisito necesario para establecer un Sistema de Gestión de Seguridad de la Información, es la política de seguridad.
Los requisitos de la política de seguridad de la norma ISO-27001:2013 solo se encuentran referidos a la política de Seguridad de la Información, aunque hay un requisito en el que se establece y mantienen los criterios de riesgo, y más tarde en esta misma cláusula se obliga a tener documentada la información sobre los procesos de evaluación de riesgos.
La organización ya tendrá documentada su política de seguridad con los criterios establecidos en su Sistema de Gestión de Seguridad de la Información, y desde la norma ISO 27001:2013 no se generan nombres para los documentos, una empresa tiene que decidir si mantiene la misma política en su SGSI.

Todas las personas que forman parte de la organización tienen que saber cuáles de las normas ISO-27001 se encuentra documentada y los requisitos que cumplen.

Hay otros requisitos de información documentada en la norma ISO27001:2013, la organización puede considerar como causas de la política de seguridad. Estos son:

  1. Los criterios para realizar las evaluaciones de riesgos de Seguridad de la Información.
  2. La política de seguridad de la organización debe estar disponible para todas las personas interesadas.
  3. La política tiene que tener concordancia con las comunicaciones internas.

Evaluación de riesgos

La norma ISO-27001:2013 exige explícitamente la identificación de activos, amenazas y vulnerabilidades, como requisito previo a la identificación de riesgos. La estructura general de los requisitos es la misma que en la ISO 27001:2005 y por lo tanto el método que se ajusta a los requisitos de la ISO27001:2005.

Términos de referencia para la alta dirección

Un cambio puede ser necesario para especificar las responsabilidades.

Conciencia

Se debe realizar un cambio parar adecuar el SGSI a las nuevas cláusulas.

Auditoría interna

No hay grandes cambios en este terreno.

Revisión de Gestión

Tampoco encontramos cambios demasiado grandes, con los procedimientos antiguos puede servir.

SGSI

El Software ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…