ISO 27001:2013 | Seguridad de la Información

Compecer » ISO 27001:2013 | Seguridad de la Información

La norma ISO/IEC 27001:2013 es una norma internacional emitida por ISO, describe cómo gestionar la seguridad de
la información en una empresa. 

Quiero certificarme

ISO 27001:2013

La norma ISO/IEC 27001:2013 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento. Está redactada por especialistas en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO/IEC 27001:2013.

BENEFICIOS

Estructura el sistema de gestión

Un sistema de gestión certificado nos garantiza que nuestros procesos de seguridad estén estructurados y coordinados.

Reducimos el riesgo de tener un incidente de seguridad

La certificación no significa cero riesgo o ausencia total de riesgo. Sí, significa disponer de una herramienta eficaz para identificar los riesgos y minimizarlos y aumentar el nivel de seguridad. Además, si se llegara a producir un incidente, la certificación nos ayuda a reducir los daños y los costes al tener un plan de continuidad del negocio.

Aseguramos a las empresas que cumplimos toda la legislación aplicable

En total, se deben superar 144 controles de gestión, tecnológicos y legales. De esos controles, 34 son de carácter legal, es decir, relativos al código penal, los datos personales, la propiedad intelectual, la firma electrónica o los servicios de la sociedad de información. Por tanto, la

norma ISO/IEC 27001:2013 es mucho más que una norma tecnológica.

Aumenta el prestigio de la empresa

Actualmente, pocas empresas disponen de esta certificación, esto quiere decir, que el tener esta certificación hace la diferencia ante las demás organizaciones.

Mejora la confianza de los clientes en nuestros servicios y datos

Aplicar las mejores prácticas en materia de seguridad es una garantía para las partes interesadas y aumenta la confianza de los clientes.

Facilita la homologación como proveedores

Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas auditorías cuando el cliente lo requiere, ya que la certificación demuestra que el sistema ha sido auditado por un tercero.

ESTRUCTURA DE LA ISO 27001:2013

ALCANCE

La norma ISO/IEC 27001:2013 es aplicada a todas las organizaciones independientemente de su tamaño, sector y ubicación geográfica.

REFERENCIAS NORMATIVAS

Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.

TÉRMINOS Y CONDICIONES

Hace referencia a la norma ISO/IEC 27000.

CONTEXTO DE LA ORGANIZACIÓN

Dentro del contexto de la organización se encuentra la fase de planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.

LIDERAZGO

Forma parte de la planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

PLANIFICACIÓN

La fase de planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

APOYO

Define los requerimientos sobre disponibilidad de recursos como, por ejemplo: competencias, concienciación, comunicación y control de documentos y registros.

FUNCIONAMIENTO

La implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

EVALUACIÓN DEL DESEMPEÑO

Los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

MEJORA

Define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

¿A quién va dirigida?

La norma ISO/IEC 27001:2013 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Empresas que utilizan sistemas internos o externos que poseen informaciones confidenciales. Si depende de estos sistemas para el funcionamiento normal de sus operaciones. La organización que desea probar su nivel de seguridad de la información conformándose a una norma reconocida.

Quiero certificarme

DESCARGAR

Las Partes aceptan que la decisión de otorgar o negar la certificación solicitada por el Cliente; o bien de mantener, renovar, extender, reducir, suspender o retirar (cancelar) la que se le hubiere otorgado, corresponde exclusivamente a COMPECER a través de su Comité de Dictaminación de la Certificación.

Se consideran motivos de suspensión de la certificación, (sin limitarse a), cuando:

  • El cliente no notifica en el tiempo estipulado en el contrato de servicios de certificación, cualquier cambio que pueda afectar la capacidad y competencia de la organización, el alcance de las actividades certificadas.
  • Se incumplan las disposiciones del contrato de servicios de certificación firmado por el cliente con COMPECER.
  • El cliente no proporciona a COMPECER en forma oportuna y completa los informes que le sean requeridos respecto al funcionamiento y operación de su sistema de gestión.
  • Se violen las disposiciones de Ley aplicables a la organización certificada.
  • Se disminuyan los recursos o la capacidad y competencia necesaria de la organización para mantener la implementación del sistema de gestión.
  • El sistema de gestión certificado del cliente ha dejado de cumplir de forma persistente o grave los requisitos de la certificación, incluidos los requisitos relativos a la eficacia del sistema de gestión.
  • El cliente certificado no permite la realización de las auditorías de vigilancia, seguimiento, monitoreo o de renovación de la certificación de acuerdo con la periodicidad requerida.
  • Cuando no sean cubiertos los pagos correspondientes a los servicios de vigilancia, seguimiento monitoreo o de renovación de la certificación de acuerdo con la periodicidad requerida.
  • La organización certificada ha pedido voluntariamente una suspensión.

Se consideran motivos de reducción del alcance de la certificación, (sin limitarse a), cuando:

  • Se disminuyan los recursos o la capacidad y competencia necesaria de la organización para mantener la implementación del sistema de gestión en sitios o procesos determinados.
  • Cuando el cliente cierra alguno de los sitios.
  • Cuando alguno de los procesos del sistema de gestión del cliente ha desaparecido.
  • Cuando a petición del cliente se solicita la reducción.

Se consideran motivos de retirada (cancelación) de la certificación, (sin limitarse a), cuando:

  • La organización certificada incumpla las disposiciones de la cláusula SEXTA del contrato de servicios de certificación firmado por el cliente, referente al uso de la certificación y del símbolo de certificación de COMPECER.
  • No se resuelvan los motivos que originaron una suspensión por más de seis meses consecutivos, sin aprobación de COMPECER.
  • La organización certificada reincida en las mismas violaciones consideradas como motivos de suspensión en más de dos ocasiones durante la vigencia de la certificación otorgada por COMPECER.
  • La vigencia de la certificación se cumpla estando suspendida la organización certificada.
  • Se disminuyan los recursos o la capacidad y competencia necesaria de la organización para mantener la implementación del sistema de gestión por más de tres meses consecutivos.
  • Cuando el cliente o el sistema de gestión certificado del cliente ha dejado de cumplir en más de dos ocasiones no consecutivas, los requisitos para mantener la implementación del sistema de gestión en sitios o procesos determinados sin solicitar la reducción del alcance de la certificación.
  • El cliente certificado no permite la realización de las auditorías de vigilancia, seguimiento, monitoreo o de renovación de la certificación de forma agresiva o violenta.
  • La organización certificada ha pedido voluntariamente el retiro de la certificación.

Para restaurar

Una vez que la organización pueda subsanar la causa de la suspensión, el comité de dictamen podrá restaurar la certificación.

DESCARGAR

DESCARGAR

DESCARGAR

DESCARGAR

C. Rioja, 13, 1ºC, 41001 Sevilla, España

Facebook Twitter Youtube Linkedin

© 2022 COMPECER. Todos los derechos reservados.

Diseño web: Starenlared