La implementación de ISO 27001

La información es uno de los activos más valiosos de su organización. Los objetivos de la seguridad de la información son proteger la confidencialidad, integridad y disponibilidad de la información.

Implantación de la norma ISO 27001

Guía de implementación y auditoría ISO 27001

La información es uno de los activos más valiosos de su organización. Los objetivos de la seguridad de la información son proteger la confidencialidad, integridad y disponibilidad de la información. Estos elementos básicos de seguridad de la información ayudan a garantizar que una organización pueda protegerse contra:

  • información confidencial o confidencial que ha sido compartida, divulgada o revelada de otra manera, accidental o deliberadamente;
  • información personal identificable comprometida;
  • información crítica que se ha cambiado accidental o intencionalmente sin el conocimiento de la organización;
  • información comercial importante que se ha perdido sin dejar rastro o recuperación; y
  • la información comercial importante no está disponible cuando se necesita.

Debería ser responsabilidad de todos los gerentes, propietarios o custodios de los sistemas de información y usuarios en general garantizar que su información se gestione y proteja adecuadamente contra todo tipo de riesgos y amenazas que enfrenta cada organización.

Tanto ISO / IEC 27001: 2017, Sistemas de gestión de seguridad de la información – Requisitos , e ISO / IEC 27002: 2017, Técnicas de seguridad – Código de prácticas para la gestión de seguridad de la información, juntos proporcionan una base para que las organizaciones desarrollen un marco de gestión de seguridad de la información eficaz para administrar y proteger sus activos comerciales importantes, al tiempo que minimizan sus riesgos, maximizan la inversión y las oportunidades comerciales, y garantizan sus sistemas de información permanecen disponibles y operativos.

ISO / IEC 27001 es un estándar de requisitos que se puede utilizar para certificaciones de sistemas de gestión de seguridad de la información (SGSI) acreditadas por terceros. Las organizaciones que pasan por la certificación acreditada tienen su SGSI auditado por un organismo de certificación acreditado. Esto garantiza que cuentan con los procesos y sistemas de gestión adecuados y que cumplen con los requisitos especificados por ISO / IEC 27001.

ISO / IEC 27002 proporciona pautas para los controles de seguridad de la información y buenas prácticas de implementación. Las organizaciones pueden adoptar estos controles como parte del proceso de gestión de riesgos descrito en ISO / IEC 27001 para gestionar los riesgos a los que está expuesta su información.

Para reclamar el cumplimiento de los requisitos de ISO / IEC 27001, la organización debe demostrar que cuenta con todos los procesos establecidos y proporcionar evidencia objetiva apropiada para respaldar estas afirmaciones. Cualquier exclusión de controles que se considere necesaria para satisfacer los criterios de aceptación de riesgos debe estar justificada. También debe demostrarse que los riesgos asociados han sido aceptados a sabiendas y objetivamente por los miembros de la administración responsables de tomar estas decisiones.

La exclusión de los requisitos indicados en las Cláusulas 4 a 10 de ISO / IEC 27001 no es aceptable.

La implementación de los procesos de ISMS da como resultado que la organización implemente un sistema de control basado en un enfoque de gestión de riesgos para gestionar sus riesgos. La organización debería tener un sistema efectivo de controles y procesos de gestión establecidos como parte de su SGSI, y debería ser capaz de proporcionar evidencia al auditor del SGSI. Es posible que la organización no tenga un estudio de caso para una auditoría de terceros, pero se requiere un proceso de auditoría interna del SGSI para cumplir con ISO / IEC 27001.

CUMPLIMIENTO DE LOS REQUISITOS ISO / IEC 27001

ISO / IEC 27001 consta de dos partes principales:

  • los requisitos de proceso de un sistema de gestión de seguridad informática, como se describe en las cláusulas 4 a 10; y
  • una lista de los controles SGSI enumerados en el Apéndice A. Estos controles se describen con más detalle en ISO / IEC 27002.

Los requisitos del proceso del SGSI abordan cómo una organización debe establecer y mantener su SGSI. Una organización que desee obtener la certificación ISO / IEC 27001 debe cumplir con todos estos requisitos; las exclusiones no son aceptables.

Los controles SGSI enumerados en ISO / IEC 27001, Anexo A no son obligatorios. Deben usarse como una lista de verificación para ayudar a la organización a identificar áreas en las que puede haberse perdido un riesgo relevante o una verificación de seguridad en su evaluación de riesgos y en el desarrollo de su plan. tratamiento de riesgo. Esto se establece en ISO / IEC 27001 de la siguiente manera:

La organización debe presentar una declaración de aplicabilidad que contenga los controles necesarios, la justificación de las inclusiones, implementadas o no, y la justificación de las exclusiones de los controles del Anexo A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN (ISO / IEC 27001, A.5)

Guía de gestión de seguridad de la información (ISO / IEC 27001, A.5.1)

Objetivo: proporcionar orientación y soporte de seguridad de la información de acuerdo con los requisitos corporativos y las leyes y reglamentos pertinentes.

Políticas de seguridad de la información (ISO / IEC 27001, A.5.1.1)

Un conjunto de políticas de seguridad de la información debe definirse, aprobarse por la administración, publicarse y comunicarse a los empleados y partes externas.

Consejos de implementación

La información sobre el contenido de una política de seguridad de la información está disponible en ISO / IEC 27002, 5.1.1.

Las políticas organizacionales deben ser simples y relevantes. Puede que no sea apropiado combinar todos los niveles de políticas en un solo documento. En este caso, la política de seguridad de la información de nivel superior puede referirse fácilmente a políticas más detalladas, por ejemplo, mediante hipervínculos.

De hecho, la política de nivel superior normalmente debería poder hablar en un solo papel. Esto también podría ser parte de un documento de política más amplio. La política de seguridad de la información de alto nivel debe difundirse y comunicarse a todo el personal y las partes externas involucradas, por ejemplo, otras personas que trabajan regularmente en las instalaciones de la organización.

Las políticas de nivel inferior deben estar disponibles para el personal apropiado según corresponda, su función y los requisitos de seguridad asociados, y deben clasificarse en consecuencia. La política de seguridad de la información de nivel superior y muchas, si no todas, las políticas de nivel inferior se pueden transmitir al personal en un manual de políticas de seguridad.

Las políticas de seguridad de la información deben estar controladas por la versión y deben formar parte de la documentación del SGSI. Debe garantizarse que todos los responsables de la seguridad de la información tengan acceso a todas las políticas necesarias. Las políticas de seguridad de la información también deben ponerse a disposición de cualquier persona que cuente con la autorización correspondiente que lo solicite, y deben protegerse contra manipulaciones o daños involuntarios.

Cuando una política de seguridad de la información se distribuye fuera de la organización, debe editarse. Cualquier información confidencial contenida en ella se elimina antes de esta distribución.

Consejos de auditoria

La política de seguridad de la información de más alto nivel no necesita ser exhaustiva, pero debe indicar claramente el compromiso de la gerencia con la seguridad de la información, estar bajo el control de los cambios y versiones, y estar firmado por el oficial correspondiente. La política debe al menos abordar los siguientes temas:

  • una definición comprensible de seguridad de la información, su alcance general y objetivos;
  • las razones por las cuales la seguridad de la información es importante para la organización;
  • una declaración de apoyo administrativo para la seguridad de la información;
  • un resumen del marco práctico para la evaluación y gestión de riesgos y la selección de controles y objetivos de control;
  • un resumen de políticas de seguridad, principios, estándares y requisitos de seguridad;
  • una definición de todas las responsabilidades relevantes de seguridad de la información (ver también 2.2.1.1 a continuación);
  • referencia a la documentación utilizada, por ejemplo, políticas más detalladas; y
  • cómo se manejarán las no conformidades y excepciones.

El auditor debe confirmar que la política sea fácilmente accesible para todos los empleados y partes externas involucradas, y que se comunique a todos los interesados, asegurándose de que sean conscientes de su existencia y Incluye el contenido. La política puede ser una declaración independiente o ser parte de una documentación más completa (por ejemplo, un manual de políticas de seguridad) que define cómo se implementa la política de seguridad de la información en la organización. En general, la mayoría, si no todos, los empleados cubiertos por el alcance del ISM asumirán parte de la responsabilidad de la seguridad de la información, y los auditores deben considerar cuidadosamente cualquier declaración resultante.

El auditor también debe confirmar que la política tiene un propietario que es responsable de su mantenimiento (véase también 2.1.1.2), y que se actualiza adecuadamente como resultado de cualquier cambio que afecte los requisitos de seguridad del cliente. información de la organización, como cambios en la evaluación inicial de riesgos.

Las políticas de temas específicos que sustentan la política de nivel superior deben estar claramente vinculadas a las necesidades de sus grupos objetivo y cubrir todos los temas necesarios para servir como base para otros controles de seguridad.

Deja un comentario