ISO 27001 0

Norma ISO 27001

La Organización Internacional de Estandarización (ISO) aprobó en 2005 la norma ISO 27001 sobre implementación de Sistemas de Gestión de Seguridad de la Información.

Es una norma internacional perteneciente a la familia normativa ISO/IEC 27000 sobre Seguridad de la Información, Software e Informática.

El campo de la seguridad es de vital importancia para evitar posibles incidentes y que la empresa no quede al descubierto.

Aspectos a tener en cuenta

Las normas ISO son normativas que pueden implicar la obtención de certificados y sellos de calidad con homologación oficial y mundial, que pueden ser implantados en una empresa, normalmente con independencia de su tamaño (grande, pequeña, mediana o grande) y su sector productivo.

Estas normas necesitan ser acreditadas por una empresa profesional acreditada y además, se recomienda contar con la ayuda de una consultoría profesional que te guíe en todo el proceso.

Antes de implementar una norma ISO se debe realizar un diagnóstico sobre la situación actual para comprobar si se cumplen los requisitos necesarios para aplicar la normativa. Posteriormente, se determinarán todas las actividades y ejercicios comerciales a realizar por la empresa, manual de uso y procesos y finalmente, un control.

Asimismo, la dirección ha de concienciar al personal de la corporación sobre la norma y sus beneficios en la empresa y en sus propios puestos. En definitiva, el compromiso tiene que ser unánime para lograr los objetivos propuestos y alcanzar el éxito empresarial.

Por otro lado, otros aspectos relevantes son la comprobación de los registros, documentos y la detección de irregularidades, así como la propuesta de soluciones.

ISO 27001 1

¿Cuál es la norma ISO 27001? ¿Para qué sirve?

La certificación de esta norma ISO 27001 implica la acreditación de que una empresa cumple con las normas de buena práctica del Sistema de Gestión de Seguridad de la Información (SGSI).

Garantiza la seguridad, la integridad y confidencialidad de la información y los datos, así como de los sistemas que los procesan.

El estándar ISO 27001:2013 para los Sistemas de Gestión de la Seguridad de la Información busca evaluar el riesgo y la aplicación de los controles necesarios para eliminarlos o, al menos, reducirlos. Asimismo, se encuentra muy relacionada con la norma ISO 27002 sobre las buenas prácticas.

Estructura de la norma ISO 27001

Esta normativa se compone de 10 partes diferenciadas, que son:

  1. Objetivo y campo de aplicación: indicaciones sobre el uso, propósito y metodología de aplicación del estándar.
  2. Referencias normativas: documentos necesarios para la implementación.
  3. Términos y Definiciones: terminología básica del estándar.
  4. Contexto de la organización: orientaciones sobre el conocimiento de la organización y su contexto, necesidades. Expectativas y alcance del Sistema de Gestión de la Seguridad de la Información.
  5. Liderazgo: necesidad de un compromiso de toda la plantilla para establecer la norma y liderazgo de la dirección. En este apartado, se contempla como la directiva tiene que realizar una política de seguridad, en el que se asignen roles, responsabilidades y autoridades de ella.
  6. Planificación: análisis y detección de los riesgos y oportunidades para planificar un Sistema de Gestión de la Seguridad de la Información y establecer los objetivos de la Seguridad de la Información y su metodología.
  7. Soporte: recursos, conciencia, competencia, comunicación e información documentada necesaria para cada caso específico.
  8. Operación: planificación, implementación y control de los procesos productivos, valoración de los riesgos y propuesta de soluciones para los mismos.
  9. Evaluación del Desempeño: seguimiento, medición, análisis, evaluación, auditoría interna y revisión de la directiva del Sistema de Seguridad de la Información para comprobar el funcionamiento del plan.
  10. Mejora: propuesta de soluciones de mejora para las no conformidades, compromiso de mejora continua y adecuación y eficacia del Sistema de Gestión de la Seguridad de la Información.


Requisitos de la norma ISO 27001 para la certificación del SGSI

Los requisitos que la norma ISO 27001 recoge como necesarios para la correcta implementación de un SGSI, giran en torno a los siguientes puntos:

  • Proteger los activos. Para ello, es necesario la implementación de procesos que incluyan la protección de los datos, información y software de la empresa.
  • Descripción del producto o servicio del que disponga la empresa. Además, se recomienda concretar el nivel de servicio.
  • Elaborar y especificar los distintos motivos y condiciones para el acceso del cliente a la información, además de su plan de privilegios.
  • Acordar los accesos de los clientes. En dichos acuerdos se deberán incluir cláusulas sobre el método de acceso autorizado, el proceso que se lleve a cabo para dicho permiso, así como los beneficios de los que goce cada cliente, y otras cláusulas relacionadas con la declaración de prohibición de todo acceso no autorizado y de revocación o desistimiento del acceso.
  • Las posibles soluciones a incidencias de inexactitud en la información a la que se accede.
  • Asunción de responsabilidades, por parte tanto de la empresa, como de los clientes.
  • Declaración de la titularidad por la empresa de los derechos de Propiedad Intelectual, derechos de protección contra las copias, así como en colaboraciones.


Integración de la norma ISO 27001 con otras normas ISO

Un caso muy frecuente entre las empresas y organizaciones comprometidas con el cumplimiento de las normas ISO, es la implementación de un SGSI en un Sistema de Gestión de Calidad que ya estaba implantado, en virtud de la norma ISO 9001.

Ante este supuesto, la empresa debe unificar las condiciones que requieren y abarcan ambos sistemas de forma común, como son, por ejemplo, la competencia, el control y registro de documentos, o los sistemas de comunicación.

Algunas otras normas que son compatibles con la ISO 27001 pueden ser:


Los beneficios de implementar la norma ISO 27001

Certificado de confianza e imagen empresarial

La implementación de un Sistema de Gestión de Seguridad de la Información supone para nuestra organización o empresa el incremento de la confianza por parte de nuestros clientes y terceros.

Esto, además, proporciona una mejora de la imagen, pues una empresa con un SGSI implementado da cierto rigor y garantiza la profesionalidad y la calidad a su imagen corporativa.

Cumplimiento de la legalidad

Cumplir con la norma ISO 27001 implica que la organización pone de manifiesto un compromiso con la legalidad y con la adecuación de sus recursos informáticos.

Sistema de seguridad informática de calidad

Cada año son más las empresas que deciden certificarse por esta normativa, lo cual hace que el mercado de empresas y organizaciones sea cada vez más comprometido y más seguro.

La certificación de la norma ISO 27001 permite a la organización el conocimiento del estado de su Sistema Informático, la posibilidad de gestión de los ataques y amenazas informáticos de forma profesional, así como la minimización de los riesgos cibernéticos.

Ventaja competitiva en el mercado internacional

Al igual que esta certificación trae consigo una mejora de la confianza e imagen de nuestros clientes, también proporciona mayor competitividad frente a otras empresas dentro del mercado internacional, así como el aumento de la motivación del personal.

Modificaciones de la norma en el tiempo

La norma ISO 27001 fue publicada el 15 de octubre de 2005 y posteriormente, se lanzó su segunda edición el 25 de septiembre de 2013.

Esta norma es la principal de la serie y tiene su origen en la BS 7799-2:2002 (ya anulada). Mediante esta norma se certifican los SGSIS de las organizaciones gracias a la labor de auditores externos.

En 2015, se publicaron nuevas modificaciones y en diciembre del mismo año una segunda modificación sobre las especificaciones en la declaración de aplicabilidad.

Asimismo, es relevante mencionar que desde el 12 de noviembre de 2014, se encuentra publicada en España como UNE-ISO/IEC 27001:2014 y está disponible online en la página UNE.

ISO 27001 2

¿Necesitas un certificado del Sistema de Gestión de Seguridad de la Información de tu empresa?

Tener un certificado de SGSI en tu empresa garantiza una mejora continua de la organización en sus sistemas de calidad, así como el efectivo ejercicio de las buenas prácticas en el sector informático.

Actualmente, es imprescindible implementar este Sistema de Gestión de Seguridad de la Información para que una empresa mantenga en el mercado competitivo una posición de alta cualificación.

Esto solo será posible con la ayuda de un servicio de consultoría profesional como el que ofrece CTMA Consultores. Su servicio se basa en las labores de implementación y mantenimiento de estos sistemas de calidad en las empresas.

No consta únicamente de la certificación de la norma ISO 27001, sino que también pueden certificar otros grupos normativos de Sistemas de calidad, como ISO 9001, ISO 14001 o el  modelo EFQM, entre otros muchos.

Si estás interesado en certificar tu organización con la norma ISO 27001 implementando un Sistema de Gestión de Seguridad de la Información que proteja la integridad e identidad de tu empresa, no dudes en ponerte en contacto con nosotros para ofrecerte las mejores soluciones.

¿Por qué elegir a CTMA Consultores?

En CTMA Consultores tenemos 100% de empresas certificadas, todas las empresas que han pasado la auditoría de certificación con CTMA Consultores se han certificado.

Nos adaptamos al cliente, a su necesidad, a su tiempo para conseguir el éxito de la certificación de manera rápida y eficaz.


Otros servicios de Consultoría que prestamos