NMX ISO 9001

Descripción

¿Qué es la NMX ISO 27001?

Sistemas de Gestión la Seguridad de la Información

La NMX ISO 27001 es una norma que facilita el aseguramiento, la confidencialidad y la integridad de todos los datos, además de la información que se procesan en los Sistemas de Gestión.

El estándar ISO 27001:2013 para el Sistema de Gestión de la Seguridad de la Información facilita que las empresas realicen una evaluación del riesgo y apliquen los controles necesarios para mitigarlos o eliminarlos.

La aplicación de la NMX ISO 27001 significa que existe una diferencia con respecto al resto, que mejora la competitividad y la imagen de la empresa.

Con la ISO 27001, las organizaciones de Colombia o del resto del mundo, pueden lograr una ventaja competitiva y por supuesto mejorar la imagen de marca.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o los controles que se establecen gracias a la norma ISO 27002.

Norma NTC ISO 27001

NMX ISO 27001

Estructura de la NMX ISO 27001 es:

Objeto y campo de aplicación: La norma ISO 27001:2013 empezar aportando unas orientaciones sobre la utilización, finalidad y modo de aplicación del estándar.
Referencias Normativas: Se recomienda consultar diferentes documentos indispensables para la aplicación de la NMX ISO 27001.
Términos y Definiciones: Se describe la terminología aplicable en esta norma.
Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, comprender las necesidades y las expectativas de las partes interesadas y la determinación del alcance del Sistema de Gestión de Seguridad de la Información.
Liderazgo: Durante esta cláusula podemos destacar la necesidad que tienen todos los empleados de la empresa para contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, tiene que elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
Planificación: Este es un apartado que manifiesta la importancia de establecer los riesgos y las oportunidades cuando se quiere planificar un SGSI, además de establecer todos los objetivos de Seguridad de la Información y la forma en la que se consiguen.
Soporte: En este apartado la norma señala que para el buen funcionamiento del Sistema de Gestión de Seguridad de la Información la empresa cuenta con los recursos, las competencias, la conciencia, la comunicación y la información documentada según sea necesario en cada caso.
Operación: Para cumplir con todos los requisitos de la Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la empresa, haciendo una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
Evaluación el desempeño: En este apartado se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurarse de que funciona según lo planificado.
Mejora: Por último, durante esta sección encontramos todas las obligaciones que tendrá una empresa cuando encuentre una No Conformidad y la importancia de mejorar de forma continuada la conveniencia, adecuación y eficacia del Sistema de Gestión de Seguridad de la Información.

Novedades de la ISO 27001

Es una norma de reciente publicación, aporta una serie de cambios con respecto a su antecesora ya que los usuarios del Sistema de Gestión de Seguridad de la Información tienen que asimilar para conseguir gestionar de forma adecuada la Seguridad de la Información en su organización. Las novedades que encontramos son:

- No se encuentra la sección “Enfoque a procesos” con su respectiva metodología basada en el ciclo Deming o PHVA (Planificar, Hacer, Verificar y Actuar), ahora ofrece mayor flexibilidad.
- Se elimina la obligación que tienen algunos documentos, conservando de forma única la declaración de aplicabilidad.
- Se han revisado los requisitos y los controles.
- Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación.

Software para ISO 27001

La Plataforma ISOTools facilita la automatización de la NMX ISO 27001.

La NMX ISO 27001 para los Sistemas de Gestión de Seguridad de la Información resulta muy sencilla a la hora de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Gracias a ISOTools se ofrece el cumplimiento de los requisitos basados en el ciclo PHVA (Planear, Hacer, Verificar y Actuar) para establecer, implantar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información, además de dar cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite la integración la NMX ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

Ventajas

Razones para automatizar la ISO 27001 con ISOTools

Garantiza la confidencialidad, integridad y disponibilidad de los datos.
Permite conocer los riesgos de seguridad de la organización para poder dirigir inversiones a esos riesgos.
Logra un equilibrio entre la seguridad física, técnica, procedimental y de personal.
Permite establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) integrable con otros sistemas de gestión previos o futuros.
Mejora la eficacia y eficiencia en la gestión, reduciendo costes.
Permite el ahorro de recursos dedicados a la implementación y mantenimiento del Sistema de Gestión ISO 27001.
Simplifica y reduce la documentación y registros, eliminando la burocracia.
Mejora la percepción y la implicación del personal en el sistema de gestión.
Permite la gestión y distribución práctica de tareas y responsabilidades con sistema de avisos y alarmas escalable.
Permite la organización y gestión de toda la documentación de la empresa, reduciendo riesgos y evitando multas y sanciones.
Utiliza potentes herramientas para planificación y seguimiento de actividades.
Permite la automatización de matrices de evaluación, lo que simplifica el diseño del sistema.
Utiliza herramientas visuales para el seguimiento de los controles de seguridad.
Permite poner el foco en esfuerzos e inversiones ante los riesgos.

Funcionalidades

¿Qué aplicaciones posee la automatización del Sistema de Gestión de la Seguridad de la Información ISO 27001?

Evaluación de Seguridad de la Información

Evaluación de riesgos de los activos de la organización utilizando la metodología designada por la empresa.

Controles 27002

Autoevaluación de los controles mencionados en la norma ISO 27002, para ver en qué estado se encuentra la empresa.

Salvaguardas

Establecimiento de salvaguarda para realizar el Plan de tratamiento de riesgos, estableciendo fechas de puesta en marcha de las mismas y responsabilidades.

Métricas e Indicadores

Seguimiento y medición que permite ver el camino por el que se alcanza a comprobar el estado en el que se encuentra nuestro sistema de gestión.

Cuadro de Mando

Gracias al tratamiento de la información, seremos capaces de poder analizar los datos desde distintos puntos de vista, pudiendo relacionar los distintos indicadores entre sí, mejorando la toma de decisiones.

Objetivos y Metas

Establecimiento de programas de Gestión Laboral.

Gestor documental

Revisión, aprobación, control de cambios y de versiones. Gestión de documentos en vigor / obsoletos. Distribución de documentos. Gestión de registros.

Recursos Humanos

Aseguramiento de las competencias. Definición de puestos y roles. Gestión de currículums. Definición de las responsabilidades y autoridades dentro de la organización.