La serie 27000 dentro de los estándares ISO/IEC, tiene asignada la seguridad de la información, contiene todas las normas relacionadas con seguridad informática, sus sistemas de gestión de mediciones y certificaciones entre otras, dentro de ella encontramos la ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) aprobado en octubre de 2005 tiene su origen en la BS7799-2:2002 y es el estándar aceptado mundialmente para la definición y gestión de seguridad informática.
La ISO/IEC 27001 contiene la especificación de los requisitos necesarios que se deben establecer para implantar, mantener y mejorar el sistema de gestión de la seguridad de la información, apoyándose en el ciclo de Deming PDCA (Plan, Do, Check, Act).
PLAN: En esta etapa se establece el ISMS que son los requerimientos, políticas, objetivos, procesos y procedimientos.
DO: En esta etapa se realiza el proceso de implantación y puesta en operación del ISMS.
CHECK: En esta etapa se tratan los procesos y procedimientos previamente establecidos informando a quien corresponda sobre su funcionamiento.
ACT: En esta etapa se hace referencia a los temas de mantenimiento y mejora del ISMS.
La duración de la implantación de la ISO/IEC 27001 es de 6 y 12 meses dependiendo de la madurez en la que se encuentre la seguridad de la información en la organización y el ámbito de la organización que va a estar sometido al SGSI elegido. Para el proceso de implantación siempre es recomendable la asesoría de un consultor externo a la organización.
No hay comentarios:
Publicar un comentario