Preguntas ms frecuentes

Contenidos

1. Norma ISO 27001

2. SGSI

3. Certificaciones

WWW.ISO27000.ES
(Para cualquier pregunta, no dude en ponerse en contacto con nosotros.)

En esta seccin se muestran respuestas a una serie de preguntas habituales sobre los
siguientes temas:

Norma ISO 27001

Origen, implementacin, ventajas.

SGSI

El Sistema de Gestin de Seguridad de la Informacin.

Certificacin

El proceso de auditora y el mbito de certificacin de la norma.

1. Norma ISO 27001

Qu es ISO? 2

ISO (International Organization for Standardization) es una federacin internacional

con sede en Ginebra (Suiza) de los institutos de normalizacin de 157 pases (uno por
cada pas). Es una organizacin no gubernamental (sus miembros no son delegados
de gobiernos nacionales), puesto que el origen de los institutos de normalizacin
nacionales es diferente en los distintos pases (pblico, privado).

ISO desarrolla estndares requeridos por el mercado que representen un consenso de

sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores) acerca de productos, tecnologas, mtodos de gestin, etc. Estos
estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no
gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en
aquellos casos en los que un pas ha decidido adoptar un determinado estndar como
parte de su legislacin, puede convertirse en obligatorio.

ISO garantiza un marco de amplia aceptacin mundial a travs de los 3000 grupos
tcnicos y 50.000 expertos que colaboran en el desarrollo de normas.

Qu es un estndar?

Es una publicacin que recoge el trabajo en comn de los comits de fabricantes,

usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene
las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el
objeto de ser utilizada como regulacin, gua o definicin para las necesidades
demandadas por la sociedad y tecnologa.

WWW.ISO27000.ES
Los estndares ayudan a aumentar la fiabilidad y efectividad de materiales, productos,
procesos o servicios que utilizan todas las partes interesadas (productores,
vendedores, compradores, usuarios y reguladores).

En principio, son de uso voluntario, aunque la legislacin y las reglamentaciones

nacionales pueden hacer referencia a ellos.

Qu es AENOR y cul es su relacin con ISO?

AENOR es una entidad espaola de normalizacin y certificacin en todos los sectores

industriales y de servicios.

En su vertiente de normalizacin, tiene encomendada esta tarea por la Administracin

espaola y es el representante de Espaa en ISO.

En su vertiente de certificacin, opera en el mercado como cualquier otra entidad

privada de certificacin y no tiene concedida ninguna exclusividad.

Qu es la norma ISO 27001?

Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de
Deming) de mejora continua, al igual que otras normas de sistemas de gestin (ISO
9001 para calidad, ISO 14001 para medio ambiente, etc.).
3
Es un estndar certificable, es decir, cualquier organizacin que tenga implantado un
SGSI segn este modelo puede solicitar una auditora externa por parte de una
entidad acreditada y, tras superar con xito la misma, recibir la certificacin en ISO
27001.

Cul es el origen de ISO 27001?

Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 2,

norma que fue publicada por primera vez en 1998 y ya era un estndar certificable
desde entonces. Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de
Octubre de 2005.

Puede consultar la historia de ISO 27001 en el archivo sonoro:

http://www.iso27000.es/download/HistoriaISO27001.pps

Qu tiene que ver ISO 27001 con ISO 17799?

ISO 17799 es un conjunto de buenas prcticas en seguridad de la informacin.

Contiene 133 controles aplicables (en relacin a la gestin de la continuidad de
negocio, la gestin de incidentes de seguridad, control de accesos o regulacin de las
actividades del personal interno o externo, entre otros muchos), que ayudarn a la
organizacin a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de

WWW.ISO27000.ES
la informacin. Su origen est en la norma de BSI (British Standards Institution)
BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable.

ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799
para su posible aplicacin en el SGSI que implante cada organizacin (justificando, en
el documento denominado Declaracin de Aplicabilidad, los motivos de exclusin de
aquellos que finalmente no sean necesarios). ISO 17799 es para ISO 27001, por tanto,
una relacin de controles necesarios para garantizar la seguridad de la informacin.

Est previsto que, en 2007, ISO 17799 pase a denominarse ISO 27002.

Puedo certificar mi empresa en ISO 17799?

ISO 17799 es un conjunto de buenas prcticas de seguridad de la informacin que

describe 133 controles aplicables. No es certificable, al igual que su norma antecesora
BS 7799-1, y la aplicacin total o parcial en cada organizacin se realiza de forma
totalmente libre y sin necesidad de una supervisin regular externa.

La norma que s es certificable es ISO 27001, como tambin lo fue su antecesora BS

7799-2.

Qu es la serie ISO 27000?

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En 2005 incluy en ella la primera
de la serie (ISO 27001). En prximos aos est prevista la incorporacin de nuevas
4
normas que supongan un apoyo para las organizaciones que implanten y certifiquen
un SGSI segn ISO 27001.

Entre otras, sern 27000 (trminos y definiciones), 27002 (objetivos de control y

controles), 27003 (gua de implantacin de un SGSI), 27004 (mtricas y tcnicas de
medida de la efectividad de un SGSI), 27005 (gua para la gestin del riesgo de
seguridad de la informacin) y 27006 (proceso de acreditacin de entidades de
certificacin y el registro de SGSIs).

Por estar en continuo desarrollo y cambio, para estar al da, recomendamos la visita
de nuestra seccin http://www.iso27000.es/iso27000.html.

Qu aporta la ISO 27001 a la seguridad de la informacin de una empresa?

Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos
que afectan al negocio, con el objetivo de implantar contramedidas, procesos y
procedimientos para su apropiado control y mejora continua.

Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la informacin,

evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por
contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta
de contramedidas, por implantar controles desproporcionados y de un coste ms
elevado del necesario, por el retraso en las medidas de seguridad en relacin a la
dinmica de cambio interno de la propia organizacin y del entorno, por la falta de
claridad en la asignacin de funciones y responsabilidades sobre los activos de

WWW.ISO27000.ES
informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y
adecuada ante incidencias o la propia continuidad del negocio, etc.

ISO 27001 tiene que ver slo con la seguridad informtica de una empresa?

La informacin crtica de una empresa est presente en los sistemas informticos,

pero tambin en papel, en diferentes tipos de archivos y soportes, se transmite a
terceros, se muestra en diversos formatos audiovisuales, se comparte en
conversaciones telefnicas y reuniones y est presente en el propio conocimiento y
experiencia de los trabajadores. ISO 27001 propone un marco de gestin de la
seguridad de toda la informacin de la empresa.

La presencia masiva de sistemas informticos en el tratamiento de la informacin lleva

a menudo a centrar la atencin slo en la informtica, dejando as expuesta
informacin esencial para las actividades del negocio.

La evaluacin de riesgos previa a la implantacin de controles debe partir de un

anlisis de los impactos que podra suponer para la organizacin la prdida de la
confidencialidad, la integridad o la disponibilidad de cualquier parte de su informacin.
Esto es un estudio en trminos de negocio, independiente del soporte de la
informacin.

La aplicacin posterior de controles considera temas como los aspectos organizativos,

la clasificacin de la informacin, la inclusin de la seguridad en las responsabilidades
laborales, la formacin en seguridad de la informacin, la conformidad con los
requisitos legales o la seguridad fsica, adems de controles propiamente tcnicos. 5

Quin debe promover la implantacin de ISO 27001 en la empresa?

La Direccin de la empresa debe liderar el proceso. Teniendo en cuenta que los

riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos
para el negocio, es la Direccin quien debe tomar decisiones. Adems, la implantacin
de ISO 27001 implicar cambios de mentalidad, de sensibilizacin, de procedimientos
y tareas, etc., y la Direccin es la nica que puede introducirlos en la organizacin.

Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible
la implantacin ni la certificacin de la norma en la empresa.

En qu trminos entiende mejor la Direccin la importancia de ISO 27001?

La Direccin de la empresa conoce los riesgos del negocio, la tolerancia en su

aceptacin y las obligaciones con sus clientes y accionistas mejor que nadie.

Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001
son los de los riesgos asumibles, la continuidad de negocio y los costes de no-
seguridad. La Direccin no tiene por qu verse confrontada con tecnologas y
descripcin de amenazas desde el punto de vista tcnico.

WWW.ISO27000.ES
Aporta un retorno de inversin la certificacin en ISO27001 de la empresa?

Como cualquier otro proyecto de la empresa, la certificacin requiere de una inversin

de mayor o menor importancia en funcin de las prcticas actuales en seguridad.

El retorno de la inversin es realmente efectivo en el tiempo, considerando, entre otras

razones, que con ISO 27001:
Se aprovecha el hecho comprobado de que el coste de la implementacin de
controles apropiados de seguridad puede ser hasta 7 veces menor cuando se
consideran al principio del diseo e implantacin de las soluciones de negocio.
Las inversiones en tecnologa se ajustan a unas necesidades y prioridades
conocidas de un entorno controlado. Se evitan compras innecesarias y
sobredimensionadas o la necesidad inesperada de productos.
Muchos errores se evitan gracias a los controles adoptados; los que se detectan
regularmente se solucionan con medidas de coste razonable y sin causar daos, y
los que finalmente se producen se solucionan y controlan mediante procedimientos
establecidos.
Se asegura la continuidad de negocio en el tiempo mnimo requerido ante cualquier
incidencia, por grave que sea.
Se evita la fuga de informacin esencial a competidores y medios pblicos que
pueda perjudicar el crecimiento, prdida de competitividad y reputacin de la
empresa en el mercado en el que participa.
Es una buena herramienta para el aprovechamiento de nuevas oportunidades de
negocio. 6
Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en
general un alto nivel de concienciacin en la proteccin de la informacin y
conformidad y cumplimento de la legalidad.

Qu tipo de empresas se estn certificando en ISO 27001?

El estndar se puede adoptar por la mayora de los sectores comerciales, industriales

y de servicios de pequeas, medianas o grandes entidades y organizaciones: finanzas,
aseguradoras, telecomunicaciones, servicios pblicos, minoristas, sectores de
manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre
otros.

En la actualidad destaca su presencia en empresas dedicadas a servicios de

tecnologas de la informacin, como prueba del compromiso con la seguridad de los
datos de sus clientes.

Qu es la norma UNE 71502?

Es una norma espaola certificable de mbito local que surgi como versin adaptada
de BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su
Anexo A.

Publicada en Febrero de 2004 y elaborada por el comit tcnico AEN/CTN 71 de la

Tecnologa de la Informacin, especifica los requisitos para establecer, implantar,

WWW.ISO27000.ES
documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la
organizacin.

Es mejor certificarse en ISO 27001 o en UNE 71502?

Ambas evolucionan desde el mismo estndar certificable BS7799-2 y la diferencia

fundamental radica en el mbito internacional de las normas ISO y el local -Espaa- de
la UNE 71502. Probablemente, a corto-medio plazo, las empresas certificadas en
UNE 71502 pasarn a estarlo en ISO 27001, como estndar nico e internacional de
certificacin.

Es ISO 27001 compatible con ISO 9001?

ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001
(Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con
el objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en
un solo sistema de gestin. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus
semejanzas en la documentacin necesaria para facilitar la integracin.

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y

prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la
actividad de la organizacin, que se puede auditar en cada momento desde la
perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o
cualquier otra. 7
Nuestra seccin de Artculos (http://www.iso27000.es/articulos.html) contiene
referencias especficas y experiencias sobre este tema.

Cmo se relaciona ISO 27001 con otros estndares de seguridad de la

informacin?

Ciertamente, existen otros estndares relacionados con seguridad de la informacin

(COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de
vista como a controles de seguridad, buen gobierno, gestin de servicios TI, seguridad
de producto

La organizacin debera considerar cul es la mejor opcin en relacin a sus

necesidades.

Quiero implantar ISO 27001, por dnde empiezo?

Si est plantendose abordar ISO 27001 en su organizacin, puede empezar por:

Recopilar informacin en pginas web como esta que est visitando y asistir a
eventos informativos.
Comprar las normas ISO 27001 e ISO 17799 en los sitios oficiales; p. ej., ISO
(http://www.iso.org), AENOR (http://www.aenor.es) en Espaa, DGN
(http://www.economia.gob.mx/index.jsp?P=85) en Mxico, ICONTEC

WWW.ISO27000.ES
 (http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM
(http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).
Realizar un curso de formacin, de los muchos que hay en el mercado, de
introduccin a la norma, a su implantacin y su auditora. En nuestra seccin de
Eventos podr encontrar algunos (http://www.iso27000.es/eventos.html).
Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los
controles de ISO 17799. Aunque no sea un anlisis exhaustivo, proporciona una
idea aproximada de la distancia que le separa de la conformidad con la norma y el
camino que habr que recorrer.
En muchos casos, es necesario contratar los servicios de una empresa consultora
especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que
las decisiones de negocio no deben ser trasladadas a nadie externo a la
organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de
poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc.
Las distintas secciones de nuestra web pueden aportarle puntual informacin.
Paralelamente, formar y concienciar a todo el personal. En nuestra seccin de
Herramientas (http://www.iso27000.es/herramientas.html) encontrar informaciones
tiles sobre planes de sensibilizacin.
Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al
menos durante tres meses antes de pasar a la auditora de certificacin.
Precisamente, son esas evidencias y registros histricos los que indican al auditor
externo que el sistema de gestin funciona de manera adecuada.
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o 8
varias entidades de certificacin acreditadas para pedir formalmente la visita de
auditora (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente,
un servicio aadido de pre-auditoria muy recomendable para afrontar con garantas
una primera certificacin en la norma. En nuestra seccin de Certificacin
(http://www.iso27000.es/certificacion.html) encontrar informaciones tiles.

2. SGSI

Qu es un SGSI?

Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin. Esta gestin

debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la
organizacin. Podra considerarse, por analoga con una norma tan conocida como la
ISO 9000, como el sistema de calidad para la seguridad de la informacin.

El propsito de un sistema de gestin de la seguridad de la informacin no es

garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos
de la seguridad de la informacin son conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica, estructurada,
continua, repetible, eficiente y adaptada a los cambios que se produzcan en la
organizacin, los riesgos, el entorno y las tecnologas.

WWW.ISO27000.ES
Qu es un ISMS?

Son las siglas en ingls (Information Security Management System) de SGSI (Sistema
de Gestin de Seguridad de la Informacin).

En qu ayudan los sistemas de gestin en general?

Aseguran que una organizacin es dirigida de un modo eficiente y eficaz. Formalizan y

sistematizan la gestin en procedimientos escritos, instrucciones, formularios y
registros que aseguren la eficiencia de la organizacin y su mejora continua.

Qu informacin protege un SGSI?

Los activos de informacin de una organizacin, independientemente del soporte que

se encuentren; p. ej., correos electrnicos, informes, escritos relevantes, pginas web,
imgenes, documentos, hojas de clculo, faxes, presentaciones, contratos, registros
de clientes, informacin confidencial de trabajadores y colaboradores...

Qu es exactamente la seguridad de la informacin?

La seguridad de la informacin es la preservacin de la confidencialidad, integridad y

disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de
una organizacin. Estos tres factores se definen como:
Confidencialidad: acceso a la informacin por parte nicamente de quienes estn 9
autorizados.
Integridad: mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso.
Disponibilidad: acceso a la informacin y los sistemas de tratamiento de la misma
por parte de los usuarios autorizados cuando lo requieran.

Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup.

Qu aporta un SGSI a mi empresa?

Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, no
significan que se est gestionando la seguridad. Un SGSI implica que la organizacin
ha estudiado los riesgos a los que est sometida toda su informacin, ha evaluado qu
nivel de riesgo asume, ha implantado controles (no slo tecnolgicos, sino tambin
organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las
polticas y procedimientos relacionados y ha entrado en un proceso continuo de
revisin y mejora de todo el sistema.

El SGSI da as la garanta a la empresa de que los riesgos que afectan a su

informacin son conocidos y gestionados. No se debe olvidar, por tanto, que no hay
seguridad total sino seguridad gestionada.

WWW.ISO27000.ES
Existe algn producto que cubra los principales aspectos de seguridad de la
informacin?

No. Por influencia de la publicidad y las campaas de venta agresivas, es un error

comn pensar que el nivel de seguridad depende exclusivamente del presupuesto
dedicado a la compra de productos relacionados.

La seguridad exige de un plan de gestin del riesgo continuado, polticas adecuadas a

cada empresa y una seguridad establecida en base a mltiples y diferentes barreras.
Siempre hay que recordar que la seguridad no es un producto sino un proceso.

Si la seguridad total no existe, qu diferencia aporta un SGSI?

Un SGSI es el modo ms eficaz de conseguir minimizar los riesgos, asegurar la

continuidad adecuada de las actividades de negocio hasta en los casos ms extremos
y de adaptar la seguridad a los cambios continuos que se producen en la empresa y
en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella
mediante una mejora continua. Es ms apropiado hablar en trminos de riesgo
asumible en lugar de seguridad total, ya que no sera lgico que el gasto en seguridad
sea mayor que los impactos potenciales de los riesgos que pretende evitar.

En qu consiste la gestin del riesgo y el ciclo de vida PDCA?

Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles razonables y

asumibles en coste todos los riesgos en seguridad que podran afectar a la 10
informacin.

PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-Do-Check-Act
(Planificar-Hacer-Verificar-Actuar).

En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e impactos. En la

fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los
niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo
de vida con la recogida de evidencias y readaptacin de los controles segn los
nuevos niveles obtenidos y requeridos.

Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio
continuo que se produce en la empresa y su entorno.

3. Certificaciones

Por qu dentro de la serie es certificable nicamente la 27001?

Es la norma que define el modelo completo de gestin de seguridad de la informacin

segn ciclo PDCA aunque, para algunos procesos, se apoya en otras normas
relacionas no certificables, como ISO 17799 (que pasar a ser ISO 27002 en 2007).

WWW.ISO27000.ES
Quin certifica a mi empresa en ISO 27001?

Una entidad de certificacin acreditada, mediante una auditora. Esta entidad

establece el nmero de das y auditores necesarios, puede realizar una pre-auditora
(no obligatoria) y lleva a cabo una auditora formal. Si el informe es favorable, la
empresa recibir la certificacin.

Para mayor detalle, consulte nuestra seccin de Certificacin

(http://www.iso27000.es/certificacion.html).

En qu ayuda a las empresas la auditora de certificacin?

Supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la

empresa de que se est gestionando correctamente la seguridad de la informacin.

Aade un factor de tensin y de concentracin en un objetivo a todos los miembros del

proyecto y de la organizacin en general, lo que redunda en beneficio de la
implantacin del sistema. Da una seal al mercado de que la empresa en cuestin es
confiable y es gestionada transparentemente.

Es el requisito indispensable para acceder a la certificacin y poder utilizar el sello de

certificacin junto al de la propia empresa.

Por qu crece el nmero de empresas certificadas?

El acta Sarbanes-Oxley en EEUU y la publicacin de directivas en el mbito EU y en

11
cada estado miembro ha activado las alarmas en la direccin de las empresas.
Adicionalmente a los requisitos legales establecidos para auditoras financieras,
gestin de riesgos, financiacin, plan de desastres, continuidad de negocio, etc., crece
el nmero de requisitos legales relacionados con la proteccin de los datos de carcter
personal.

ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de

negocio y tratamiento de la informacin para satisfacer las demandas de la empresa,
legales y de los clientes en materia de seguridad de la informacin.

Obliga mi certificacin a la de mis empresas de servicio externas

(outsourcing)?

No necesariamente. ISO27001 indica los controles a considerar para servicios de

outsourcing desde el mbito de su empresa (requisitos contractuales, niveles de
servicio, obligaciones legales, auditora, etc.). La seguridad de los sistemas de
informacin que estn fuera del mbito es responsabilidad de la empresa externa, que
debe cumplir regularmente con los compromisos contractuales exigidos por el cliente.

Dnde puedo ver si una empresa est certificada?

El registro oficial de organizaciones certificadas en ISO 27001 o BS 7799-2 a nivel

mundial est en http://www.iso27001certificates.com.

WWW.ISO27000.ES
Quin acredita a las entidades certificadoras?

Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de
supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican
los sistemas de gestin de las empresas) estn capacitadas para desempear su labor
y se ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de
Acreditacin; http://www.enac.es) quien tiene esta misin.

Tambin se da el caso de entidades certificadoras que expiden certificados bajo

esquema de acreditacin de una entidad de acreditacin extranjera. En ISO 27001, se
da frecuentemente el caso con UKAS (entidad nacional de acreditacin del Reino
Unido), por el origen ingls de la norma y su corta vida an como ISO.

Cmo es el proceso de certificacin?

El proceso de certificacin puede resumirse en las siguientes fases:

Solicitud por parte del interesado a la entidad de certificacin y toma de datos por
parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora.
Compromiso.
Designacin de auditores, determinacin de fechas y establecimiento conjunto del
plan de auditora.
Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte
informacin sobre la situacin actual y oriente mejor sobre las posibilidades de 12
superar la auditora real.
Fase 1 de la auditora: revisin del alcance, poltica de seguridad, Direccin, anlisis
de riesgos, declaracin de aplicabilidad y procedimientos clave.
Fase 2 de la auditora: revisin de las polticas, auditora de la implantacin de los
controles de seguridad y verificacin de la efectividad del sistema.
Certificacin: acciones correctivas en caso de no conformidades graves, revisin y
emisin de certificado en caso de informe favorable.
Auditora de seguimiento: auditora semestral o anual de mantenimiento.
Auditora de re-certificacin: cada tres aos, una auditora de certificacin formal
completa.

Alguien puede obligarme a certificarme en ISO 27001?

Como obligacin legal, a da de hoy, no. Sin embargo, como en toda relacin
comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser
considerado siquiera como opcin de contratacin.

Hay administraciones pblicas que estn empezando a exigir certificados de este tipo
a las empresas que quieran acceder a concursos pblicos de productos o servicios
relacionados con sistemas de informacin. Igualmente, es previsible que empresas
privadas comiencen en algn momento a exigrselo a sus proveedores siempre que
vaya a haber algn tipo actividad relacionada con informacin sensible.

WWW.ISO27000.ES