Ciberseguridad...

ISO 27001: Diferencias entre acreditación y certificación

ISO 27001

ISO 27001

Existen muchísimas normas ISO, entre las más populares se encuentran ISO 9001, ISO 14001, ISO 27001, ISO 22301, ISO 20000, etc. y existen muchas formas de conseguir la acreditación o certificación en relación con estas normas. Pero, eso no es todo ya que también existe diferentes entre si decide certificar su empresa o certificarse como individuo.

Para saber por dónde comenzar, vamos a seguir estos pasos:

Para las organizaciones

En primer lugar, las normas ISO se publican por la Organización Internacional de Normalización, siendo un organismo internacional fundado por los gobiernos de todo el mundo. El objetivo que persigue es la publicación de las normas es otorgar conocimiento y mejorar las practicas realizadas en las organización, existen alrededor de 20.000 normas que se encuentran reconocidas internacionalmente.

Las normas de gestión ISO son sólo una parte de esas 20.000 normas y han sido creadas principalmente como una ayuda en las organizaciones para mejorar las operaciones en ciertas áreas, la mayor parte de estos estándares están relacionados con las organizaciones.

Certificación vs. inscripción

Cuando queremos decir que una organización ha implantado un estándar, como la norma ISO 27001, ha completado con éxito la auditoría de certificación, y el organismo de certificación ha emitido el certificado, que normalmente a este registro o certificación.

En América del Norte, el término “registro” se utiliza con mayor frecuencia, mientras que en el resto del mundo se conoce como “certificación”. Entonces, ¿existe alguna diferencia? Técnicamente, sí; pero en esencia, no.

Podemos decir que la certificación es un organismo de certificación que emite el certificado que demuestra que una empresa es compatible con un estándar; el registro es cuando este certificado se ha registrado en la empresa de certificación. Así se trata de la misma cosa, una organización tiene un certificado que es reconocido de manera formal.

La organización internacional de normalización recomienda la utilización del término “certificación”, por lo que se debe utilizar este término de aquí en adelante en este post.

Organismo de certificación vs. registro

Esta es la diferencia que surge de forma directa de la utilización de los términos de certificación/registros, en América del Norte se utiliza el término registradores mientras que en el resto del mundo se denominan organismos de certificación.

La ISO recomienda que se utilice el término “organismo de certificación”.

Acreditación de certificación

Para que los organismos de certificación puedan realizar las auditorías de certificación y emitir los certificados, que necesitan para obtener una licencia y esta licencia se denomina acreditación. Por lo tanto, los organismos de certificación se encuentran acreditados, mientras que las empresas están certificadas.

No es por lo general sólo el cuerpo de acreditación de cada país, existen diferentes organismos de certificación que operan en cada país, yendo de pequeños organismos de certificación a grandes corporaciones multinacionales.

Lo bueno de los organismos de acreditación es que suelen publicar un listado de organismos de certificación que se encuentran acreditados en sus países. Los organismos de certificación necesitan ser compatibles con un estándar, la norma ISO 17011, un estándar que define el proceso de acreditación.

Para las personas

Para implementar un estándar en una organización necesitan contar con una persona entrenada para auditar el sistema de gestión ISO 27001. Se han desarrollado diferentes entrenamientos de las normas ISO, y también existen certificaciones y acreditaciones que se relacionan con este sector de la formación.

En cuanto a la acreditación, existe un patrón muy similar al que hemos descrito anteriormente, es decir, si quiere que una empresa proporcione certificados de formación, tiene que estar acreditado por un organismos de acreditación y dicha institución debe ser compatible con la norma ISO 17024.

Certificación personal frente a la certificación de formación

En la mayoría de los casos, las instituciones acreditadas no ofrecen cursos directamente a los estudiantes, más bien existe una red de socios que entregan los cursos según su licencia y supervisión.

La relación que existe entre las instituciones acreditadas y los proveedores de formación funciona de dos formas diferentes:

  • Los proveedores de formación están utilizando cursos desarrollados por instituciones acreditadas, y luego emite los certificados la institución acreditada directamente a los estudiantes.
  • La organización de formación desarrolla su propio curso y una institución acreditada los certifica

Existen muchas empresas de formación alrededor de todo el mundo, ya que van desde los organismos de certificación hasta los proveedores especializados.

Certificar los cursos es obligatorio para los proveedores de cursos de formación cómo el de auditor., ya que esta es la única forma de obtener el reconocimiento de las empresas de certificación que contrata a los auditores de dichos certificados. Sin embargo, para otros cursos, los proveedores de formación optan por no certificar dichos cursos, ya que es un reconocimiento poco importante, y consideran que su marca sea suficiente para obtener garantía en la calidad de los cursos.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba