ISO 27001:2013 Planificación. Objetivos y tratamiento de los riesgos de la Seguridad de la Información
ISO 27001
ISO 27001 contiene entre sus cláusulas la sexta denominada planificación. De ella hemos hablado sobre las acciones para tratar riesgos y oportunidades. Hoy finalizaremos esa parte y terminaremos con los objetivos de seguridad de la información y planes para lograrlos.
Por lo que los apartados que vamos a tratar son:
- 6.1.3 Tratamiento de riesgos de la seguridad de la información
- 6.2 Objetivos de seguridad de la información y planes para lograrlos
6.1.3 Tratamiento de riesgos de la seguridad de la información
La organización debe establecer e implementar un proceso de tratamiento de riesgos de la seguridad de la información para:
- Determinar qué acciones son adecuadas para el tratamiento de riesgos de seguridad de la información, utilizando como base los resultados de la evaluación de los mismos.
- Establecer los controles que sean indispensables para llevar a cabo los compromisos establecidos en el tratamiento de riesgos de la seguridad de la información.
- Contrastar los controles señalados en el apartado 6.1.3 b) con los del Anexo A, y confirmar que no se ha prescindido de ninguno de ellos.
- Elaborar una declaración de aplicabilidad donde relacione los controles que se aplican en el sistema de gestión (remitirse el apartado 6.1.3 b) y c)), la demostración de las inclusiones, y la comprobación para las exclusiones de los controles del Anexo A.
- Realizar un plan de tratamiento de riesgos de la seguridad de la información.
- Conseguir, por parte de los propietarios de los riesgos, la validación del plan de tratamiento de riesgos de la seguridad de la información, y la conformidad de los riesgos residuales producidos.
Debe conservarse toda la documentación que se genere en el proceso de tratamiento de riesgos de la seguridad de la información.
6.2 Objetivos de seguridad de la información y planes para lograrlos
Se deben implantar los objetivos de seguridad de la información en todas las actividades y categorías oportunas, por lo que los propósitos deben:
- Estar vinculados a la política de seguridad de la información.
- Ser evaluables, siempre que sea posible.
- Tener en cuenta los requerimientos establecidos, así como los resultados de la medición y del tratamiento de los riesgos.
- Ser notificados.
- Ser renovados cuando sea necesario.
La organización debe mantener la documentación relacionada con los objetivos que se han determinado.
Cuando se hace la planificación para lograr los propósitos establecidos, la organización debe concretar:
- Las acciones que se llevarán a cabo.
- Los recursos que se van a necesitar.
- Quién será el responsable.
- Cuando finalizarían las actividades que se realicen.
- Como se van a valorar los resultados.
El proceso de valoración y tratamiento de los riesgos de la seguridad de la información permite mejorar la eficacia y eficiencia de la organización.
La Plataforma Tecnológica ISOTools es un software cualificado que permite instaurar, implementar y mantener cada uno de los requisitos que se establecen en el SGSI de ISO27001.