ISO 27001:2013 Operación
Norma ISO 27001
ISO 27001 tiene su versión más reciente en el año 2013, en ella se ajustó la norma a las líneas del Anexo SL, tal y como lo están haciendo el resto que están siendo revisadas en la actualidad.
A lo largo de una serie de post hemos ido viendo cual es el contenido de la norma y qué requisitos son necesarios para establecer un Sistema de Gestión de Seguridad de la Información a partir de este estándar.
Hemos llegado a la sección octava, llamada operación, que es la protagonista del presente post, y se divide en:
- 8.1 Planificación y control operacional
- 8.2 Valoración de riesgos de la seguridad de la información
- 8.3 Tratamiento de riesgos de la seguridad de la información
8.1 Planificación y control operacional
La norma ISO 27001:2013 indica que la organización se encuentra en el deber de planificar, implementar y controlar los procesos que sean necesarios para cumplir cada uno de los requisitos de seguridad de la información e implementar las acciones señaladas en el apartado 6.1.
Por otro lado, también tiene el deber de implementar planes con la finalidad de lograr los objetivos de la seguridad de la información marcados esta vez en el punto 6.2.
Es esencial que se mantenga la información documentada en la medida necesaria para tener la certeza de que los procesos se han desarrollado según como estaba planificado.
Los cambios planificados deben ser controlados por la organización, así como se deben revisar las consecuencias de lo cambios no previstos y tomar las medidas que sean oportunas para mitigar los efectos adversos, en caso necesario.
Además, la organización no puede olvidarse de aquellos procesos que son contratados externamente y deben ser controlados igualmente.
8.2 Valoración de riesgos de la seguridad de la información
En este punto el estándar ISO-27001 nos dice que la valoración de riesgos de la seguridad de la información es un tema que debe ser llevado a cabo por la organización, a intervalos planificados o cuando se propongan o sucedan cambios relevantes o significativos, y siempre teniendo en cuenta los criterios que se establecieron en el punto 6.1.2 de esta norma.
Los resultados obtenidos de esta valoración de riesgos de la seguridad de la información, deben ser conservados como información documentada por la propia organización, para poder consultarlos cuando sea requerido.
8.3 Tratamiento de riesgos de la seguridad de la información
Para terminar esta cláusula, ISO27001 contiene este apartado para indicar a la organización la necesidad de implementar un plan de tratamiento de riesgos de la seguridad de la información.
Al igual que anteriormente la organización ha de preocuparse por conservar como información documentada los resultados del tratamiento de riesgos de la seguridad de la información.
Software para los Sistemas de Gestión de Seguridad de la Información
La Plataforma Tecnológica ISOTools es usada por numerosas organizaciones de diversos sectores con el fin de automatizar el Sistema de Gestión de Seguridad de la Información y poder llevar a cabo la gestión del mismo de una forma sencilla y eficiente. Además este software da cumplimiento al ciclo PHVA y a las buenas prácticas o controles que establece ISO 27002.