ISO 27001

¿Cuáles son los pasos a seguir para conseguir la certificación ISO 27001?

ISO 27001

ISO 27001

Después de que haya dedicado un tiempo bastante considerable para conseguir la implantación de la norma ISO 27001, es decir, ha invertido bastante en capacitación, consultoría e implantación de diferentes controles. Ahora llega el auditor de la entidad de certificación. Es normal que nunca pueda saber si su Sistema de Gestión de Seguridad de la Información tiene todo lo que la entidad certificadora solicita. Pero, ¿Qué busca exactamente el auditor?

El auditor lleva a cabo la:

Fase 1 “Revisión de la documentación”. El auditor busca la documentación sobre el alcance, la política y los objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de evaluación de riesgos, el informe sobre la evaluación de riesgos, la declaración de aplicabilidad, el plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas, además de la auditoría interna. Es necesario que se documenten algunos de los controles del Anexo A:

 

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

 

  • Inventario de activos
  • Utilización accesible de activos
  • Tareas y responsabilidades de los empleados, contratistas y terceros
  • Términos generales de empleo
  • Procedimientos para el funcionamiento de las instalaciones de procesamiento de la información
  • Política de control de acceso
  • Identificación de la legislación aplicable.

Es necesario que se realicen registros de la auditoría interna y una revisión por parte de la gerencia.

El certificado #ISO27001 solo tiene validez durante tres años

Click To Tweet

Si falta alguno de estos elementos, significa que no se encuentra listo para la Fase 2 de auditoría. Es posible que usted tenga más documentos que si se consideran necesarios, pero la lista contiene los requisitos mínimos.

La Fase 2 “Auditoría principal”. Se lleva a cabo unas semanas después de que se realice la fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en comprobar que su empresa realmente está haciendo lo que sus documentos y la norma ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verifica si su Sistema de Gestión de Seguridad de la Información verdaderamente se ha materializado en su empresa o si sólo se trata de letra muerta. El auditor lo verifica a la hora de realizar la observación y las entrevistas con sus empleados pero principalmente controlando su registro. Entre los riesgos obligatorios se incluyen los de la formación, capacitación, habilidades, experiencias y calificaciones, auditoría interna, revisión por parte de la gerencia y medidas correctivas y preventivas. El auditor espera ver mucho más registros como resultado de la realización de los procedimientos.

El auditor puede que encuentre un incumplimiento grave y debe informar de que no se puede emitir el certificado en ISO 27001. En este momento se deberá seguir un proceso como: el auditor informará de los resultados en el informe de auditoría y le dará un plazo en el cual se deberá solucionar el incumplimiento, como caso contrario, el auditor pude no aceptar lo que se ha hecho. Una vez que este seguro de haber tomado las medidas correctas, es necesario que se modifique al auditor y se envíe la evidencia de lo que han hecho. En la mayoría de los casos, si ha hecho su trabajo, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Es muy posible que esto le lleve tiempo pero en este momento usted se puede encontrar orgulloso de contar con un Sistema de Gestión de Seguridad de la Información certificado bajo ISO 27001. Debe tener en cuenta que el certificado solo tiene validez durante tres años, y que puede ser suspendido durante dicho periodo si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001
NEWSLETTER sidebar BLOG
Suscríbete al newsletter

Recibe semanalmente artículos y recursos exclusivos que te ayudarán en la gestión de tu organización

CTA SIDEBAR OHSAS
E-book gratuito: OHSAS 18001

¿Desea saber más?

Entradas relacionadas

IATF 16949 2016
IATF 16949:2016 Sistemas de Gestión de la Calidad en la Industria del Automóvil
28 diciembre, 2017

IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…

Ver más
Normas ISO
Comité Mexicano para atender a las normas ISO
21 diciembre, 2017

Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…

Ver más
ISO 9001
ISO 9001 ¿Por qué automatizar un Sistema de Gestión de Calidad?
14 diciembre, 2017

ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…

Ver más
OHSAS 18001
OHSAS 18001 ¿Cómo se puede cumplir con los requisitos que establece la norma?
7 diciembre, 2017

OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…

Ver más
Volver arriba