ISO 27001:2013 Mejora
ISO27001
ISO 27001:2013 es una de las normas que cuenta ya con la estructura de alto nivel que aplica el Anexo SL. Esta estructura consta de 10 cláusulas, las cuales serán comunes en las normas que se revisen o creen de ahora.
Haciendo un recorrido por el análisis que hemos llevado estas semanas de los requisitos que componen a un Sistema de Gestión de Seguridad de la Información ISO-27001, podemos resumir lo siguiente:
4. Contexto de la organización. Indica que es necesario hacer un reconocimiento tanto de la organización como de su contexto, porque son aspectos que pueden afectar al normal desarrollo del sistema, hay que comprender las necesidades y expectativas de las partes interesadas y determinar qué alcance va a tener el SGSI.
5. Liderazgo. Es una sección que aporta las indicaciones necesarias para llevar a cabo un buen liderazgo en la organización, elaborar una buena política de seguridad y la forma en que se deben asignar roles, responsabilidades y autoridades.
6. Planificación. En este apartado nos encontramos con temas como las acciones para abordar riesgos y oportunidades, la forma en que plantear los objetivos de seguridad de la información y la planificación para alcanzarlos.
7. Soporte. La séptima cláusula expone los criterios a seguir para proporcionar los recursos y competencia que la organización necesita, así como la toma de conciencia que se debería adquirir y la forma en que se habrá que ejecutar una buena comunicación en el seno del Sistema de Gestión de Seguridad de la Información ISO27001. Por otro lado, nos explica cómo hay que tratar y controlar la información documentada del sistema en la organización.
8. Operación. Este requisito se ocupa del funcionamiento del sistema, abordando temas como la planificación y control operacional, la valoración de riesgos de la seguridad de la información o el tratamiento de riesgos de la seguridad de la información.
9. Evaluación del desempeño. Esta parte de la norma verifica el funcionamiento del Sistema de Gestión de Seguridad de la Información ISO 27001. Para ello cuenta con apartados dedicados al seguimiento, medición, análisis y evaluación, auditoría interna y revisión por la dirección.
Ya por último es el turno de hablar sobre la cláusula que pone fin al análisis de la norma ISO 27001:2013, es la siguiente:
10. Mejora
10.1 No conformidades y acciones correctivas
Esta norma establece que, cuando se de una no conformidad, la organización está en la obligación de:
- Reaccionar ante ella y, según proceda:
o Emprender acciones para controlarla y corregirla.
o Afrontar las consecuencias.
- Evaluar la necesidad de acciones que eliminen las causas que produjeron la no conformidad, con el objetivo de que no vuelva a producirse, mediante:
o Revisión de la no conformidad.
o Identificación de las causas de la no conformidad.
o Determinación si constan no conformidades afines o potenciales.
- Implementar cualquier acción requerida.
- Comprobar la eficacia de las acciones correctivas que se han tomado.
- Realizar cambios en el Sistema de Gestión de Seguridad de la Información ISO27001, si es necesario.
Toda acción correctiva que se vaya a ejecutar debe ser apropiada a la no conformidad detectada.
Debe quedar como información documentada los resultados de este proceso como evidencias de:
- La naturaleza de la no conformidad y cualquier acción emprendida.
- Resultados de las acciones correctivas.
10.2 Mejora continua
Para ISO27001:2013 es esencial que la organización mejore continuamente la conveniencia, eficacia y adecuación del Sistema de Gestión de Seguridad de la Información implantado.
Software para ISO 27001
El Software para ISO 27001 simplifica el proceso de implementación de cada uno de los requisitos que hemos visto a lo largo de todos los post dedicados al análisis de la norma, por un lado ahorra tiempo y por otro recursos económicos, de tal forma que esto no sea una tarea tediosa para ninguna organización, sino que constituya un proceso cómodo, sencillo y fácil.