Seguridad de la Informacin segn la Norma ISO 27001

Qu es un SGSI segn ISO 27001?

Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer
uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un
enfoque de riesgo empresarial, que constituye el SGSI (Sistema de Gestin de la Seguridad de la
Informacin).

La norma UNE-ISO/IEC 27001 editada en noviembre de 2007 es un modelo certificable para la
preservacin de la confidencialidad, integridad y disponibilidad de la informacin, as como de los
sistemas implicados en su tratamiento, dentro de una organizacin. Para establecer y gestionar un
Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo PDCA,
tradicional en los sistemas de gestin de la calidad. Es integrable con los sistemas ISO 9000 e ISO
14000.

La otra norma de la serie, ISO/IEC 27002, consiste en una serie de recomendaciones constituidas
en un cdigo de prctica para los SGSI que pueden servir a una organizacin como punto de
partida para desarrollar la gestin especfica de la seguridad de sus sistemas de informacin.

ISO 27000 es aplicable a cualquier organizacin que tenga el activo de la informacin y pueda
beneficiarse de una puesta en prctica y certificacin de un Sistema de Gestin de Seguridad de la
Informacin. Cubre todos los aspectos de intercambio de informacin, desde datos de ordenador
a conversaciones en reas pblicas, incluyendo los permetros de seguridad y el nivel inicial de
acceso del personal.

Valor aadido para su empresa

La diferenciacin sobre la competencia y el mercado.
Mejora del conocimiento de nuestros sistemas de informacin, sus riesgos y los medios de
proteccin.
Proteccin de la informacin y cumplimiento legal sobre esta materia.
Mejora la confianza de clientes y socios al aumentar las garantas de calidad, confidencialidad y
disponibilidad.
Reduccin de costes (econmicos y de imagen) vinculados a incidencies que afecten al
tratamiento de la informacin.
Acceso a oportunidades de negocio donde se valoren o incluso se exijan a los proveedores
certificaciones reconocidas como por ejemplo con organismos gubernamentales y clientes de
sectores especficos (banca, seguros, farmacuticas, salud, aeroespacial, etc.)
Algunas licitaciones internacionales comienzan a solicitar una gestin ISO 27001.
Los profesionales de ATISAE le ofrecen sus servicios para:

Disear, documentar e implantar el Sistema de Gestin segn los requisitos ISO 27001.
Integrar el Sistema de Gestin de la Informacin con los sistemas UNE-EN-ISO 14001 y UNE-EN-ISO
9001, existentes o no en la compaa.
Realizar diagnsticos de situacin de la empresa frente a cumplimiento con los requisitos de ISO
27001 y con los requisitos legales.
Realizar auditoras internas.
Formar a mandos y trabajadores en requisitos de ISO 27001.
Formar a auditores internos de ISO 27001.
Apoyo en la certificacin por terceros.


















APO02 GESTIONAR LA SEGURIDAD


APO02.01 Entender la direccin de la empresa

Comprendiendo las necesidades y expectativas de las partes interesadas

La ISO indica que se tiene que comprender las necesidades de las partes interesadas y
stas debern tener acceso a la informacin pertinente.


APO02.02 Evaluar el entorno actual, las capacidades y el rendimiento.

Roles organizacionales, responsabilidades y autoridades

La ISO nos indica que cada persona deber tener la capacidad de asignar roles y
responsabilidades de acuerdo a su capacidad

APO02.03 Definir las capacidades de TI y sus objetivos

Acciones para dirigir los riesgos y oportunidades,

Evaluacin de riesgos de seguridad de informacin A- la ISO nos indica que se deben
evaluar los riesgos y las oportunidades para guiar el direccionamiento del negocio.