Gestión de Seguridad de la Información

ISO 27001, Sistemas de gestión / Por

En este artículo Hablaremos acerca de los Sistemas de Gestión de Seguridad de la Información ISO 27001: 2013.

Introducción

Durante todo el mes de Enero de 2021, en nuestro Blog Quick Mentor hemos venido compartiendo información sobre sistemas de gestión. Esta es la oportunidad de los Sistemas de Gestión de Seguridad de la Información bajo la norma ISO 27001: 2013.

Este sistema de gestión conserva características muy similares a las que hemos explicado en otros artículos.

En primer lugar, el sistema de gestión se basa en el ciclo PHVA y en la gestión por procesos.

La norma tiene 10 capítulos. Los requisitos del Sistema de Gestión de Seguridad de la Información se describen del capítulo 4 al 10.

En consecuencia, la norma también es compatible con otros modelos de gestión y ser aplicada por organizaciones de cualquier tamaño y tipología.

Haz click sobre la imagen para descargar nuestro ebook “Modelo de Gestión del Riesgo”

Qué es la Seguridad de la Información

La seguridad de la información es el conjunto de actividades que permiten preservar la confidencialidad, integridad y disponibilidad de la información. Otras actividades relacionadas con este tema, aseguran la autenticidad, la responsabilidad, el no repudio y la confiabilidad de la información.

Alcance del Sistema de Gestión

El modelo ISO 27001: 2013 incluye requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de la seguridad de la información. Para su uso, se tiene en cuenta el contexto y los riesgos de la organización.

Todo el vocabulario y los términos utilizados dentro del sistema de gestión se describen en la norma ISO/IEC 27000.

Requisitos del Sistema de Gestión

Los requisitos generales del Sistema de Gestión de la Seguridad de la Información ISO 27001: 2013 son los siguientes:

Contexto de la Organización

Este primer requisito exige los siguientes elementos:

  • Comprensión de la organización y de su contexto;
  • Comprensión de las necesidades y expectativas de las partes interesadas;
  • Determinación del alcance del sistema de gestión de la seguridad de la información;
  • Sistema de gestión de la seguridad de la información;

Liderazgo

Aquí, la norma habla de:

  • Liderazgo y Compromiso;
  • Política de seguridad de la información;
  • Roles organizacionales, responsabilidades y autoridades;

Planificación

En el tercer podemos encontrar:

  • Acciones para Abordar Riesgos y Oportunidades;
  • Objetivos de seguridad de la información y planificación para lograrlos;

Apoyo

El cuarto requisito explica:

  • Recursos;
  • Competencias;
  • Conocimiento (Reemplaza Toma de Conciencia);
  • Comunicación;
  • Información Documentada;

Operación

La operación incluye:

  • Control y planificación operacional;
  • Evaluación de riesgo de la seguridad de la información;
  • Tratamiento del riesgo de la seguridad de la información;

Evaluación del desempeño

Esta parte de la norma se refiere a:

  • Seguimiento medición, análisis y evaluación;
  • Auditoría interna,
  • Revisión de gestión;

Mejora

Y por último, la mejora está asociada con:

  • No conformidades y acciones correctivas; y
  • Mejora continua.

Inscríbete en nuestro blog

Conoce nuestro programas

Observa más de nuestro contenido

×