| 25 años generando CONFIANZA
ISO/IEC 27001
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido.
En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
Objetivos del auditor de ISO/IEC 27001
Algunos profesionales de la seguridad de la información han destinado muchas horas de trabajo en la redacción de documentos. Estos, aunque tendrán un valor significativo para los auditores, no bastan para aprobar la auditoría de certificación en ISO 27001.
El proceso de certificación en esta norma, presenta una diferencia sustancial con respecto a los que se efectúan para certificar organizaciones en otros estándares de ISO. En el caso de ISO 27001, la auditoría de certificación se divide en dos etapas. La primera se destina a la revisión y evaluación de la documentación. Mientras, en la segunda se verifica que los procesos, procedimientos y actividades documentados se cumplen en la práctica y están conformes con los requisitos de ISO 27001. Gran parte de la responsabilidad corresponde a los auditores internos. Por ello, la organización debe destinar recursos que garanticen la formación y la capacitación adecuada de sus auditores internos en la norma ISO 27001.
En el campo de la seguridad de la información, contar con el título de auditor interno ISO 27001 certifica que cuenta con destreza, formación y experiencia suficiente para planificar la gestión de la información de una empresa, y que éstas a su vez estén certificadas según la ISO 27001, por lo que cobra vital importancia. La norma internacional que se utiliza para la certificación de personas es la ISO 17024. En el caso concreto de la seguridad de la información, se trata de la norma ISO 27001. Algunos de los objetivos que debe alcanzar este auditor:
- Entender los fundamentos y conceptos generales de la gestión de la seguridad de la información
- Conocer el contenido de las Normas ISO 27001 e ISO 27002 sobre Gestión de la Seguridad de la Información Identificar los componentes de un SGSI (Sistema de Gestión de Seguridad de la información)
- Analizar las ventajas de implantar un sistema de gestión de la seguridad de la información
- Adquirir los conocimientos necesarios para la planificación y realización de auditorías de sistemas de gestión de la seguridad de la información
- Conocer el proceso de certificación
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Tanto para las organizaciones que opten por solicitar la certificación en ISO 27001, como para aquellas que solo requieran implementar el sistema de gestión basado en la norma, la Escuela Europea de Excelencia presenta este Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Este curso aporta los conocimientos sobre la norma, las habilidades y las herramientas necesarias para implementar, mantener y auditar el sistema de gestión de seguridad de la información.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...