La ejecución de un SGSI, ISO 27001, contempla dos puntos de vista, lo que atañe al día a día y el desarrollo de mejoras.
El primero lo ocupan las labores de gestión de las operaciones del SGSI y de los recursos asignados para el mantenimiento de la seguridad de la información.
ISO 27006
ISO 27006 tiene como título oficial «Tecnología de la información -. Técnicas de seguridad Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad», se compone de 10 capítulos y 4 anexos.
Obtener la certificación en ISO 27001 es un proceso que requiere un cambio de mentalidad en la organización y tomar la decisión de conseguir la aptitud y entrega del certificado.
Pero uno de los pasos más importante es la elección de la empresa certificadora.
ISO 27001 determina cómo se gestiona la seguridad de la información mediante un sistema de gestión de seguridad de la información – SGSI -. Un sistema de gestión de este tipo se compone de distintas fases que se deben implementar secuencialmente para minimizar los riesgos sobre confidencialidad, integridad y disponibilidad de la información.
SGSI son las siglas del Sistema de Gestión de Seguridad de la Información al que da lugar la norma ISO 27001.
Se entiende por información el conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que esté guardada o sea transmitida, de su origen o de la fecha de elaboración.
La seguridad de la información, de la mano de ISO 27001, consiste en la preservación de la confidencialidad, integridad y disponibilidad, al igual que los sistemas implicados en su tratamiento, dentro de una empresa. Estos tres términos forman la base de un buen sistema de seguridad de la información.
ISO/IEC 27001 forma parte de la familia de normas ISO/IEC 27000, y responde a los sistemas de gestión de seguridad de la información. En la actualidad, y desde septiembre de 2013, disponemos de una versión revisada, ISO/IEC 27001:2013.
Este estándar tiene la intención de traer seguridad a la información, bajo el control de la dirección. Esta norma da la posibilidad de que la empresa que la implante pueda ser auditada y certificada.
