Scribd
Cargar
71 vistas3 páginas

Implementación de ISO 27001: Guía Completa

El documento resume la estructura y los pasos para implementar la norma ISO/IEC 27001 de gestión de la seguridad de la información. La norma consta de 11 secciones y un anexo, siendo las secciones 4 a 10 obligatorias. Para implementarla, una organización debe obtener apoyo directivo, definir el alcance, realizar una evaluación de riesgos, documentar los controles, capacitar al personal, auditar el sistema de gestión e implementar medidas de mejora continua.

Cargado por

lorena catolico alvarado
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
71 vistas3 páginas

Implementación de ISO 27001: Guía Completa

El documento resume la estructura y los pasos para implementar la norma ISO/IEC 27001 de gestión de la seguridad de la información. La norma consta de 11 secciones y un anexo, siendo las secciones 4 a 10 obligatorias. Para implementarla, una organización debe obtener apoyo directivo, definir el alcance, realizar una evaluación de riesgos, documentar los controles, capacitar al personal, auditar el sistema de gestión e implementar medidas de mejora continua.

Cargado por

lorena catolico alvarado
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

EXPOSICION

Segundo: Cómo es:


ISO/IEC 27001 se divide en 11 secciones más el anexo A;

Las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación),


mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe
implementar todos sus requerimientos si quiere cumplir con la norma.

Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la
Declaración de aplicabilidad.

De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para


la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO
22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar
más fácilmente estas normas.

1. Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con


otras normas de gestión.
2. Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de
organización.
3. Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000
como estándar en el que se proporcionan términos y definiciones.
4. Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC
27000.
5. Sección 4 – Contexto de la organización – esta sección es parte de la fase de
Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones
externas e internas, también define las partes interesadas, sus requisitos y el alcance
del SGSI.
6. Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la
información.
7. Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de
riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la
determinación de los objetivos de seguridad de la información.
8. Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA
y define los requerimientos sobre disponibilidad de recursos, competencias,
concienciación, comunicación y control de documentos y registros.
9. Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del
ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos,
como también los controles y demás procesos necesarios para cumplir los objetivos de
seguridad de la información.
10. Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de
Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición,
análisis, evaluación, auditoría interna y revisión por parte de la dirección.
11. Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones,
medidas correctivas y mejora continua.

Primero: Dónde interviene:


Básicamente, la seguridad de la información es parte de la gestión global del riesgo en
una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión
de la continuidad del negocio y con la tecnología de la información:

Tres: cómo implementarla:


Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos
16 pasos:

1) Obtener el apoyo de la dirección


2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su
SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas

También podría gustarte