proceso de certificación iso27001
Planificación y preparación 1 y certificación ISO27001
Es principalmente para realizar preparativos para establecer un sistema de gestión de seguridad de la información. El contenido incluye educación y capacitación, planificación, investigación del desarrollo de la gestión de la seguridad y la asignación y gestión de recursos humanos.
2. La certificación O27001 determina el ámbito de aplicación del sistema de gestión de seguridad de la información.
El alcance del sistema de gestión de seguridad de la información es el área de seguridad que requiere una gestión enfocada. Las organizaciones deben implementarlo en toda la organización o en departamentos o áreas individuales según sus circunstancias reales. En esta etapa, la organización debe dividirse en diferentes áreas de control de seguridad de la información para facilitar que la organización lleve a cabo una gestión adecuada de la seguridad de la información en áreas con diferentes necesidades.
Al definir el alcance de la aplicación, se debe centrar la atención en el entorno aplicable de la organización, el personal aplicable, la tecnología de TI existente y los activos de información existentes.
3. Investigación y evaluación de riesgos de la certificación ISO27001.
Basado en tecnologías de seguridad de la información y estándares de gestión relevantes, investigar y evaluar la confidencialidad, integridad, disponibilidad y otros atributos de seguridad de los sistemas de información y la información que procesan, transmiten y almacenan, y evaluar las amenazas que enfrenta la información. activos y la posibilidad de desencadenar un incidente de seguridad, combinados con el valor de los activos de información involucrados en el incidente de seguridad, para determinar el impacto en la organización si ocurre un incidente de seguridad.
4. La certificación ISO27001 establece un marco de gestión de seguridad de la información.
Para establecer un sistema de gestión de seguridad de la información, es necesario planificar y establecer un marco de gestión de seguridad de la información razonable y llevar a cabo la construcción general de seguridad desde todos los niveles del sistema de información desde una perspectiva general y general;
A partir del propio sistema de información, en función de la naturaleza del negocio, las características organizativas, el estado de los activos de información y las condiciones técnicas, establecer una lista de activos de información, realizar análisis de riesgos, análisis de demanda y selección de controles de seguridad, preparar un declaración de idoneidad, establecer un sistema de seguridad y proponer soluciones de seguridad.
5. Elaboración de documentos del sistema de certificación ISO27001
Establecer y mantener un sistema de gestión de seguridad de la información documentado es un requisito general de la norma ISO/IEC27001:2005. La preparación de documentos del sistema de gestión de seguridad de la información es el trabajo básico para establecer un sistema de gestión de seguridad de la información. También es una base indispensable para que una organización logre el control, la evaluación y la mejora de riesgos, y la mejora continua del sistema de gestión de seguridad de la información.
Los documentos establecidos en el sistema de gestión de seguridad de la información deben incluir: documentos de política de seguridad, documentos de alcance de aplicación, documentos de evaluación de riesgos, documentos de implementación y control, y documentos de declaración de aplicabilidad.
6. Operación y mejora del sistema de certificación ISO27001
Una vez compilados los documentos del sistema de gestión de seguridad de la información, la organización debe revisarlos y aprobarlos de acuerdo con los requisitos de control de los documentos. y emitirlos e implementarlos. En este punto, el sistema de gestión de seguridad de la información entrará en la etapa operativa.
Durante este período, la organización debe fortalecer las operaciones, aprovechar al máximo las funciones del propio sistema, descubrir rápidamente problemas en la planificación del sistema, descubrir la causa raíz de los problemas, tomar medidas correctivas y modificar el sistema de acuerdo con los requisitos del procedimiento de control de cambios. Realizar cambios para mejorar aún más el sistema de gestión de seguridad de la información.
7. Auditoría del sistema de certificación ISO27001
La auditoría del sistema es un proceso de inspección sistemático, independiente y documentado para obtener evidencia de auditoría, evaluar objetivamente el sistema y determinar el cumplimiento del grado de auditoría de los estándares. La auditoría del sistema incluye auditoría interna y auditoría externa (auditoría de terceros).
Las auditorías internas generalmente se realizan en nombre de la organización y pueden usarse como base para la inspección de autocalificación de la organización. Las auditorías externas son realizadas por agencias externas independientes que pueden proporcionar certificación o registro que cumpla con los requisitos. requisitos. En cuanto a qué método de control se debe utilizar, se requiere una planificación cuidadosa y atención a los detalles de control.
La gestión de la seguridad de la información requiere de la participación de todos los empleados de la organización. Por ejemplo, para evitar que terceros ajenos a la organización ingresen ilegalmente al área de oficinas de la organización para obtener los secretos técnicos de la organización, además del control físico, todos los empleados de la organización deben participar y fortalecer el control. Además, se requiere la participación de proveedores, clientes o accionistas y el aporte de expertos externos a la organización.
La información, el procesamiento de la información, los sistemas de información y las redes de información que respaldan la información son activos comerciales importantes. La confidencialidad, la integridad y la disponibilidad de la información son importantes para mantener la ventaja competitiva, el flujo de capital, la eficiencia, el cumplimiento legal y la imagen empresarial.