¿Cómo obtener la certificación ISO27001?

El predecesor de ISO/IEC27001, las reglas prácticas para la gestión de la seguridad de la información, es el estándar británico BS7799, propuesto por el Instituto Británico de Estándares (BSI) en febrero de 1995 y revisado en mayo. 1995. 1999 BSI revisó nuevamente la norma. BS7799 se divide en dos partes: BS7799-1, detalles de implementación de gestión de seguridad de la información BS7799-2, especificaciones del sistema de gestión de seguridad de la información. La primera parte proporciona asesoramiento sobre la gestión de la seguridad de la información para los responsables de iniciar, implementar o mantener la seguridad en sus organizaciones. La segunda parte explica los requisitos para establecer, implementar y documentar un sistema de gestión de la seguridad de la información (SGSI) y se basa en las necesidades de las organizaciones independientes; los requisitos para implementar controles de seguridad.

Pasos/Métodos

1 Establecer un marco según ISO 27001 (BS 7799-2: 2005).

2. Honorarios de evaluación de la agencia de certificación y tiempo de auditoría formal.

Presentar una solicitud formal al organismo de certificación.

4 (Opcional) El organismo de certificación llevará a cabo una auditoría previa para eliminar algunos errores importantes antes de la auditoría formal y familiarizar a los clientes con los métodos de auditoría, evaluaciones de riesgos, políticas de auditoría, alcance y procedimientos adoptados. Compruebe si hay omisiones y áreas engorrosas en el sistema que deban corregirse.

5 (Opcional) El organismo de certificación realizará una auditoría previa para eliminar algunos errores importantes antes de la auditoría formal y familiarizar a los clientes con los métodos de auditoría, evaluaciones de riesgos, políticas de auditoría, alcance y procedimientos adoptados. Compruebe si hay omisiones y áreas engorrosas en el sistema que deban corregirse.

El organismo de certificación llevará a cabo la segunda fase de la auditoría, que consiste principalmente en implementar la auditoría y verificar la implementación de los procedimientos. Las agencias de certificación generalmente realizan auditorías in situ y hacen recomendaciones.

7. Si la auditoría se puede completar con éxito, se emitirá un certificado del sistema de seguridad de la información después de que se aclare el alcance de la certificación. En el caso de auditorías en curso, el período de vigencia es de tres años.

Aspectos a tener en cuenta

Proceso de operación de consultoría ISMS O27001. Medidas preventivas: publicar documentos del sistema de gestión de seguridad de la información de forma específica. La capacitación de los documentos del sistema es la tarea principal de la operación del sistema y la calidad de la capacitación afecta directamente los resultados de la operación del sistema. La organización deberá capacitar a todos los empleados de acuerdo con los requisitos del plan de trabajo de capacitación y los procedimientos de capacitación. A través de la capacitación, todos los empleados se dan cuenta de que el sistema de gestión de seguridad de la información recientemente establecido o mejorado es una reforma del sistema de gestión de seguridad de la información anterior para cumplir con los estándares internacionales avanzados de gestión de seguridad de la información. Para adaptarnos a este cambio y al funcionamiento del nuevo sistema de gestión, debemos estudiar e implementar detenidamente los documentos del sistema de gestión de seguridad de la información.

Consultoría ISMS Network O27001 - Precauciones durante la operación Fortalecer la gestión de la información relevante sobre la operación del sistema no es solo una necesidad para la operación de prueba del sistema de gestión de seguridad de la información en sí, sino también la clave para garantizar el éxito de la operación de prueba. Todo el personal relacionado con las actividades del sistema de gestión de seguridad de la información debe recopilar, analizar, transmitir, retroalimentar, procesar y archivar información de seguridad de la información de acuerdo con los requisitos de los documentos del sistema. Los documentos del sistema de seguridad de la información pertenecen a los activos de información de la organización, incluida toda la información confidencial sobre la gestión de seguridad de la organización. Las organizaciones deben clasificar la información de acuerdo con los principios de clasificación de la información, marcar los niveles de seguridad e implementar controles de seguridad estrictos. No se permiten copias ni préstamos no autorizados.

Proceso de Operación de Consultoría de Red SGSI O27001. Notas - Coordinar y mejorar los problemas expuestos durante la operación de prueba del sistema, como diseño imperfecto del sistema, proyectos incompletos, etc. El funcionamiento del sistema de gestión de seguridad de la información involucra a todos los departamentos dentro del sistema organizacional. Durante las operaciones, diversas actividades frecuentemente se desvían de los estándares. Por lo tanto, las organizaciones deben establecer un mecanismo de retroalimentación de información y coordinación de seguridad de la información para retroalimentar y manejar información anormal de acuerdo con los principios de rigor, coordinación, eficiencia, simplificación y unificación, mejorar los problemas y garantizar el funcionamiento normal continuo del sistema.

Consultoría ISMS+0: inevitablemente surgirán algunos problemas durante la operación de prueba de los documentos del sistema. Todos los empleados deben informar sinceramente los problemas prácticos y las sugerencias de mejora a los departamentos pertinentes para que se puedan tomar medidas correctivas.