Un blog editado por ISOTools Excellence
Blog especializado en Seguridad de la
Información y Ciberseguridad
Síguenos
ISO 27001, vimos en el artículo anterior de este serial, que da conformidad a un SGSI fundamentado en el ciclo PHVA. Se habla mucho sobre este ciclo pero, orientándolo en PYMEs, ¿en qué consisten sus fases?
Ya hemos hablado sobre las dos primeras, Planificar y Hacer, hoy continuamos y terminamos con las fases de Verificar y Actuar.
ISO 27001
El auditor debe tener profundos conocimientos sobre la norma ISO 27001 e ISO 27002 y revisar determinadas acciones para hacer una buena auditoría y emitir una certificación favorable sobre el SGSI.
ISO 27001 es una norma certificable. Una vez que la organización tenga implantado el Sistema de Gestión de la Seguridad de la información puede pasar a solicitar a una entidad certificadora acreditada una auditoría para obtener la certificación del sistema basado en ISO-27001.
Para pasar a la fase de auditoría y certificación, la organización debe contar con una experiencia de 3 meses.
ISO 27008
ISO 27008 es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.
Cuando la organización tiene implantada la norma ISO 27001 es el momento de la llegada del auditor de la entidad certificadora y someterse a ello.
La auditoría se puede desarrollar en distintas fases. La primera fase se centra en la revisión de la documentación, mientras que la segunda atañe a la auditoría principal.
