Guía para implementar la ISO 27001

[ISO 27001] es una norma desarrollada por ISO (organización internacional de Normalización) con el propósito de ayudar a gestionar la Seguridad de la Información en una empresa. A continuación, detallaremos paso a paso cómo implementar la ISO 27001.

Vea también información sobre protección de datos personales.

Auditoria inicial ISO 27001: GAP Analysis

Consiste en un análisis de cumplimiento tanto con los requisitos de la norma ISO 27001 como de sus controles.

Determinación del alcance

Consiste en establecer el contexto del Sistema de Gestión de Seguridad de la Información (SGSI) en cumplimiento de los requisitos de la norma ISO 27001 recogidos en la cláusula 4 de la Norma.

Elaboración de la política y objetivos SGSI

Consiste en redactar una política de acuerdo a las necesidades de cada organización. La política de seguridad del SGSI define lo que se quiere proteger, así como las reglas y conductas para los usuarios del sistema para preservar la seguridad de los mismos.

Planificación del SGSI

Consiste en identificar el inventario de activos, catálogo de amenazas, valoración de las amenazas para la seguridad de la información, análisis de riesgos, evaluación de riesgos, plan de tratamiento de riesgos, y selección de controles.

Documentación del SGSI

Consiste en generar y construir la documentación del sistema documental ISO 27001.

Implementación del SGSI

Consiste en identificar los controles de seguridad que se han determinado con anterioridad, en particular la identificación del contexto de la organización, el análisis y evaluación de riesgos y la determinación del alcance del SGSI.

Comunicación y sensibilización del SGSI

Consiste en llevar a cabo un plan de comunicación interno bien diseñado y aplicado de manera efectiva, a toda la organización.

Auditoría interna según ISO 27001

Consiste en establecer un plan de auditorías internas que nos permitan revisar el sistema de gestión, con el objeto de comprobar que dicho SGSI cumple con los requisitos de la norma, y que dichos requisitos y procesos de la organización han integrado correctamente los requisitos de la seguridad de la información definidos en el SGSI.

Revisión por la dirección según ISO 27001

Consiste en la revisión del sistema por parte de la dirección.

Proceso de la certificación ISO 27001

Consiste en la obtención de un certificado de cumplimiento con los requisitos de la norma emitida por una entidad de certificación independiente.

En Grupo Incofisa disponemos de un SGSI conforme a la UNE-ISO/IEC 27001:2014 certificado por AENOR.

¿Necesitas más información?