Normas ISO 9001, ISO 31000 e ISO 27001
Algunas organizaciones desean integrar conceptos de gestión de riesgos, integrando sistemas de gestión de seguridad de la información, con estándares de calidad, pero no saben por dónde empezar. Hoy veremos las diferencias en la gestión de riesgos en las normas ISO 9001, ISO 31000 e ISO 27001.
En algunos de nuestros textos hemos hecho referencia a la integración de sistemas de gestión, haciendo énfasis en establecer las similitudes entre ellos, como primer paso para iniciar el proceso. Sin embargo, hoy, las diferencias en la gestión de riesgos en las normas ISO – 9001, 31000 y 27001 —, pueden ofrecernos una perspectiva diferente sobre este tema, que reviste especial relevancia, para las organizaciones que hacen uso de los tres estándares.
Diferencias en la gestión de riesgos en las normas ISO – El enfoque de cada una
La primera diferencia, por supuesto, está en el objetivo de cada una de estas normas. Conviene conocer con exactitud el propósito de cada una. Veamos:
- ISO 31000 revisión 2009: Estándar que recoge directrices y principios para la Gestión de Riesgos.
- ISO 9001 revisión 2015: Sistema de Gestión de la Calidad.
- ISO 27001 revisión 2013: Norma que ofrece requisitos para la Gestión de la Seguridad de la Información.
Aunque nuestro objetivo hoy es establecer las diferencias entre estas normas, no está de más advertir que ISO 27001 e ISO 9001 comparten contenido idéntico en sus capítulos, en tanto que ISO 31000 posee una estructura diferente.
Diferencias en la gestión de riesgos en las normas ISO – El concepto
Veamos una comparativa del concepto de gestión de riesgo en cada una de las normas a las que hacemos referencia hoy:
ISO 9001: 2015 |
ISO 27001: 2013 |
ISO 31000: 2009 |
| Riesgos y oportunidades asociados con el contexto y los objetivos de la organización. | Evaluación y tratamiento de los riesgos de seguridad de información, adaptados a las necesidades de la organización. | Principios y directrices para la gestión de cualquier tipo de riesgo, de una manera sistemática, transparente, y dentro de cualquier ámbito y contexto.
Realización de la evaluación de riesgos, que consiste en la identificación de riesgos, análisis y evaluación. |
Diferencias en la gestión de riesgos en las normas ISO – Los principios de ISO 31000
Los capítulos de ISO 9001 e ISO 27001 que hacen relación al concepto de gestión del riesgo, son iguales. Pero ISO 31000 presenta notorias diferencias. Veamos:
- La Gestión de Riesgos en ISO 31000, protege y crea valor, abordando en forma explícita la incertidumbre, con base en factores culturales y humanos, así como las instalaciones y la capacidad de mejora continua de la organización.
- Es parte integral de todos los procesos. Desde la toma de decisiones, que es sistemática, estructurada y oportuna, sobre la base de información confiable y actualizada. La Gestión de Riesgos, está adaptada al contexto externo e interno de la organización, y al perfil de riesgo. Es dinámica, transparente, iterativa, transparente y sensible a los cambios.
ISO 9001 presenta una diferencia sustancial con respecto a las otras dos normas que referenciamos en esta comparativa: ISO 9001 no ofrece ningún requisito, sobre la Gestión del Riesgo, o un proceso documentado acerca del tema, en tanto que ISO 27001, si hace referencia a la norma 31000 y a la norma 27005, como estándares que resultan de gran utilidad a la hora de abordar el tema de Gestión de Riegos.
Similitudes en las normas sobre la Gestión de Riesgos
Podemos establecer muchas similitudes y muchas diferencias en el enfoque y el concepto de Gestión de Riesgos de cada una de las normas ISO. Sin embargo, existe una definición sobre el riesgo que es común a todas: el riesgo, es el efecto de la incertidumbre en los objetivos.
La incertidumbre, por supuesto, se genera a partir de información deficiente o del desconocimiento acerca de un evento que puede causar un incidente con impacto negativo sobre la organización.
Los riesgos siempre estarán presentes. No podemos eliminarlos, pero si podemos minimizar su impacto. Conocer las diferencias en las gestiones de riesgos en las normas ISO, resulta esencia en el cumplimiento de ese objetivo.
Si quiere conocer más información sobre la Gestión de Riesgos puede acceder a nuestro Curso ISO 31000 Gestión de Riesgos, para realizar una correcta implementación y gestión de los riesgos, así como conocer las diferencias en la gestión de riesgos en las normas ISO.
Así mismo puede acceder a nuestra sección de Oferta Formativa donde encontrará información sobre nuestros cursos y talleres relacionados con los estándares ISO.
