ISO 27001

ISO 27001 ha sido actualizada a su versión 2013. Ha traído numerosos cambios respecto a la anterior versión y, por eso estamos haciendo un análisis por cada una de sus cláusulas. Así podremos aclarar conceptos y dar algunas orientaciones sobre el contenido de la norma.

En el artículo anterior repasamos la primera parte de la cláusula 4, hoy terminamos con ella hablando sobre:

• 4.3 Establecimiento del alcance del Sistema de Gestión de la Seguridad de la Información.
• 4.4 Sistema de Gestión de la Seguridad de la Información.

Con estos títulos se termina esta sección, dando paso al apartado quinto, Liderazgo, del cual hablaremos en el próximo artículo.

4.3 Establecimiento del alcance del Sistema de Gestión de la Seguridad de la Información.

ISO-27001 dice que la organización es la que debe determinar límites y aplicabilidad del Sistema de Gestión de la Seguridad de la Información para instaurar su alcance.

Al determinar el alcance, la organización deberá tener en cuenta:

• Cuestiones externas e internas referidas al punto 4.1 (Conocimiento de la organización y de su contexto).
• Requisitos referidos en el punto 4.2 (Comprensión de las expectativas y necesidades de las partes interesadas).
• Interfaces y dependencias entre las actividades ejecutadas por la organización y las que hacen otras organizaciones.

Este alcance que se ha determinado debe estar disponible como información documentada.

4.4 Sistema de Gestión de la Seguridad de la Información.

La organización que se comprometa a instaurar un SGSI, debe establecer, implementar, mantener y mejorar de forma continua dicho Sistema de Gestión de la Seguridad de la Información de acuerdo a los requisitos de ISO27001.

La Plataforma Tecnológica ISOTools ya está disponible para automatizar esta nueva versión de ISO 27001 y colaborar, con las organizaciones que lo deseen, en su camino hacia el éxito.