¿Qué diferencia existe entre ISO 27001 y SOC 2?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Qué diferencia existe entre ISO 27001 y SOC 2?

¿Qué diferencia existe entre ISO 27001 y SOC 2?

ISO 27001

ISO 27001

Te has podido preguntar alguna vez si la certificación basada en ISO 27001 es similar al informe SOC 2, muchas empresas hoy en día tienen muchas necesidades o demandas de diversas evaluaciones de cumplimiento o certificaciones. Estas empresas pueden preguntarse ¿Cómo puede mi certificación en ISO 27001 adaptarse a todas las necesidades de un informe SOC 2? Y viceversa. A continuación hemos resumido las similitudes y diferencias entre una certificación ISO 27001 y un examen SOC 2.

Antes de explicar las similitudes y diferencias entre una certificación en ISO 27001 y un examen SOC 2, vamos a realizar un esbozo con el significado de estas dos áreas de cumplimiento.

La norma ISO 27001 es un estándar que se encuentra reconocido de forma internacional, que describe todos los requisitos para construir un marco basado en riesgos para iniciar, implantar, mantener y gestionar la seguridad de la información dentro de la empresa. La norma ISO 27001 define lo que es un Sistema de Gestión de Seguridad de la Información, lo que debe estar incluido en el y como se debe gestionar, supervisar y mantener.

La certificación es una validación independiente en la que se cumple con todos los requisitos que establece la norma ISO 27001. Los certificados expedidos son válidos por un periodo de tres años, durante los que se deben realizar auditorías de seguimiento antes de que se termine de completar el tiempo. El certificado está destinado a comunicar que el Sistema de Gestión de Seguridad de la Información se implementa de forma efectiva y funciona con eficacia.

Nueva llamada a la acción
Nueva llamada a la acción

A principios de 2011, el AICPA emitió el Servicio de Control de Organización (SOC). El propósito que siguió dicho marco era diferenciar los tipos comunes de AICPA, que se espera que las empresas ofrezcan diferentes servicios a sus clientes.

Un informe SOC 2, titulado “Informe sobre los controles en una empresa de servicios que se encuentran relacionados con la seguridad, la disponibilidad, el proceso de integridad, confidencialidad o privacidad” se encuentra diseñado para satisfacer una amplia gama de necesidades de información sobre los controles en una empresa de servicio en la forma en la un CPA reporte un certificado independiente. El examen SOC 2 es un examen independiente de todos los controles de la organización que son diseñados y se encuentran operando de forma eficiente para cumplir con todos los criterios aplicables.

Similitudes

El informe SOC 2 y una certificación ISO 27001 tienen las siguientes similitudes:

  • Proporcionan una garantía independiente sobre todos los controles de la organización que ofrecen un servicio para los que fueron diseñado e implementados para cumplir con un conjunto específico de requisitos o criterios.
  • Ambos son estándares reconocidos de forma internacional y son aceptados en todo el mundo.
  • Ambos permiten que una empresa de servicio se ofrezca para obtener una ventaja significativa sobre sus competidores.

Diferencias

  • La certificación basada en la norma ISO 27001 incluye un entregable que describe la conformidad de la empresa para el conjunto estándar de los requisitos. El informe de certificación SOC 2 es un informe muy detallado en el que se describe los controles que cumple con los criterios aplicables otros servicios de seguridad. El SOC 2 también incluye una narración sólida que detalla la documentación de la organización, los servicios prestados, y el sistema que se encuentra dentro del alcance de la evaluación. Tenemos un conjunto de criterios estándar, de los controles que puede realizar una empresa que puede ser muy diferente a los controles de otra empresa de servicio, como el informe SOC 2 no debe ser referenciada con una certificación.
  • La certificación ISO 27001 considera las actividades de control pertinentes en cuanto al apoyo que reciben y se centran en un mayor riesgo en cuanto a la seguridad de la información que puede aplicarse en gestión de la documentación, recursos humanos, gestión de activos, relaciones con los proveedores, etc. El examen SOC 2 revisa los controles internos sobre el sistema, que pueden incluir uno o más servicios que ofrece al empresa y se centra en la información política de los sistemas, procedimientos, seguridad del sistema, y la gestión del cambio. El alcance de cada informe puede ser muy diferente y puede cubrir distintos aspectos de negocio.
  • La certificación en ISO 27001 es un ciclo que dura tres años, mientras que el examen SOC 2 abarca tanto el futuro como el pasado.
  • Los certificados en ISO 27001 no proporcionan detalles de un entorno o de los controles que se encuentra relacionados, sin embargo el informe SOC 2 proporciona detalles sobre los controles y el medio ambiente que pueda ser útil a los clientes.

Cuales quieras de estas opciones, un examen SOC 2 y una certificación ISO 27001 son formas ejemplares de comunicar el compromiso con la seguridad de la información, la entrega y se gana la confianza del mercado global, y aseguran a sus clientes que su empresa, controles, procesos y sistemas son diseñados e implantados de forma que se conocen algunos de los más altos niveles de requisitos de seguridad de la información de un programa de cumplimiento que puede demostrar.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 2013 en Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 3,33 out of 5)
Cargando...

Loading Facebook Comments ...