Aunque ISO 27001 se basa en la implementación de controles de seguridad de la información, ninguno de ellos es universalmente obligatorio para el cumplimiento.
Esto se debe a que el Estándar reconoce que cada organización tendrá sus propios requisitos al desarrollar un SGSI, y que no todos los controles serán apropiado.
En cambio, se requiere que las organizaciones realicen actividades que informen sus decisiones sobre qué controles implementar. En este blog, explicamos qué implican esos procesos y cómo puede completarlos.
Requisitos de certificación obligatorios
Las dos actividades más importantes al implementar ISO 27001 son:
- Alcance de su SGSI (cláusula 4.3), en el que define qué información necesita ser protegida; y
- Realizar una evaluación de riesgos y definir una metodología de tratamiento de riesgos (cláusula 6.12), en la que identifica las amenazas a su información.
Las organizaciones también deben completar las siguientes cláusulas obligatorias:
- Política y objetivos de seguridad de la información (cláusulas 5.2 y 6.2)
- Proceso de tratamiento de riesgos de la información (cláusula 6.1.3)
- Plan de tratamiento de riesgos (cláusulas 6.1.3 ey 6.2)
- Informe de evaluación de riesgos (cláusula 8.2)
- Registros de capacitación, habilidades, experiencia y calificaciones (cláusula 7.2)
- Resultados de seguimiento y medición (cláusula 9.1)
- Programa de auditoría interna (cláusula 9.2)
- Resultados de auditorías internas (cláusula 9.2)
- Resultados de la revisión por la dirección (cláusula 9.3)
- Resultados de las acciones correctivas (cláusula 10.1)
¿Y los controles del Anexo A?
El Anexo A describe los controles que están asociados con varios riesgos. Dependiendo de los controles que seleccione su organización, también se le pedirá que documente:
La Declaración de Aplicabilidad
No podemos profundizar en los entresijos de todos estos procesos aquí ( puede echar un vistazo a nuestro sitio web para obtener más información), pero vale la pena destacar la SoA (Declaración de aplicabilidad), una pieza de documentación esencial dentro del proceso de tratamiento de riesgos de la información.
La SoA describe qué Anexo A controles que ha seleccionado u omitido, y explica por qué hizo esas elecciones. También debe incluir información adicional sobre cada control y un vínculo a la documentación relevante sobre su implementación.
Abordar el proceso de documentación
Al comenzar su proyecto de cumplimiento, notará que la documentación El proceso requiere mucho más tiempo que la implementación de los requisitos en sí.
Cada cláusula viene con sus propios requisitos de documentación, lo que significa que los administradores e implementadores de TI tendrán que lidiar con cientos de documentos. Cada política y procedimiento debe ser investigado, desarrollado, aprobado e implementado, lo que podría llevar meses.
Facilitar el proceso de documentación
Las organizaciones pueden simplificar el proceso de cumplimiento con nuestra Documentación ISMS ISO 27001 Kit de herramientas.
Desarrollado por expertos en ISO 27001, este conjunto de plantillas personalizables lo ayudará a cumplir con los requisitos de documentación del Estándar con la menor molestia posible.
Puede incrustar la documentación directamente en su organización, lo que le permite ahorrar tiempo y dinero, y con acceso a soporte durante 12 meses, puede estar seguro de que contará con la ayuda de un experto si no está seguro acerca de algo relacionado con el proceso de documentación ISO 27001.
Obtenga más información sobre el kit de herramientas de documentación de ISMS ISO 27001 > >
Una versión de este blog se publicó originalmente el 24 de marzo de 2016.
Lectura recomendada:
- ¿Cuántos controles hay en la norma ISO 27001?