ISO 27001

ISO 27001

GESTIÓN DE LA SEGURIDAD DE LA INFORMÁTICA

Esta norma es la que rige la organización de la seguridad en la información en las organizaciones, no importa si es privada o publica, con o sin fines lucrativos. 

Esta norma constituye la base para gestionar la seguridad de la información.

La norma ISO determina como gestionar la seguridad de la información por medio de un sistema de gestión de seguridad de la informática SGSI que consta de 4 fases:

• Planificación: Es para planificar la organización básica, establecer los objetivos de la seguridad de la información  y elegir los controles de seguridad mas adecuados.

• Implementación: Es la realización de todo lo planificado en la fase de planificación.

• Revisión: Es monitorear el Sistema de Gestión de Seguridad de la Informática mediante varios canales y verificar que los resultados sean acordes a los objetivos planteados.

• Mantenimiento y mejora: Es mejorar todos lo incumplimientos en la fase de Revisión.

DOCUMENTOS DE ISO 27001

La norma ISO 27001 requiere los siguientes documentos:

• Alcance del SGSI

• Política del SGSI

• Procedimientos para control de documentación , auditorias internas y procedimientos para medidas correctivas y preventivas

• Todos los demás documentos, según los controles aplicables

• Metodología de evaluación de riesgos

• Informe de evaluación de riesgos

• Declaración de aplicabilidad

• Plan de tratamiento del riesgo

• Registros

La cantidad y exactitud de la documentación depende del tamaño y de las exigencias de seguridad de la organización; esto significa que una docena de documentos serán suficientes para una pequeña organización, mientras que las organizaciones grandes y complejas tendrán varios cientos de documentos en su SGSI.

Fuente: http://www.iso27001standard.com/es/que-es-la-norma-iso-27001