no conformidad en ISO 27001

Definiciones de evento, incidencia o no conformidad en ISO 27001

no conformidad en ISO 27001

La no conformidad en ISO 27001, así como el evento y el incidente en seguridad de la información, se definen en el Anexo A de la norma. El objetivo del mismo es garantizar un enfoque coherente y efectivo para el ciclo de vida de cada uno de estos hechos. Y, para ello, es importante y necesario conocer el alcance de los mismos y su definición exacta.

Si una no conformidad en ISO 27001 no es igual a una incidencia o a un evento, se deduce que cada uno de ellos requiere procedimientos de respuesta diferentes. Y tales procedimientos deben definirse antes de que se presenten, para actuar con efectividad.

Leer más
empleados en ISO 27001

Términos y condiciones de seguridad para los empleados en ISO 27001

empleados en ISO 27001

Lo primero y lo más importante que pueden hacer los departamentos de recursos humanos cuando se trata de seguridad de la información es ser proactivos en lugar de reactivos. Concretamente, los empleados en ISO 27001 son una preocupación para el sistema que involucra capacitación, definición de roles y establecimiento de protocolos entre otras consideraciones.

Por supuesto, es necesario redactar políticas y procedimientos para los empleados en ISO 27001 que cubran a los trabajadores actuales, pero también a los que nuevos empleados o, incluso, a los que cambien de posición dentro de la organización.

Leer más
partes interesadas en ISO 27001

Identificar requisitos de las partes interesadas en ISO 27001

partes interesadas en ISO 27001

Los requisitos de las partes interesadas en ISO 27001 aparecen en la cláusula 4.2 de la norma. En ella se señala que la organización debe identificar y comprender los requisitos de las partes interesadas en el sistema de gestión de seguridad de la información, tanto internas como externas, que puedan afectar la capacidad del sistema para alcanzar los resultados previstos, o aquellas que puedan influir en la dirección estratégica de la organización.

Además, la identificación de los requisitos de las partes interesadas en ISO 27001 está estrechamente vinculada a la definición del contexto interno y externo de la organización, tema abordado en la cláusula 4.1. de la norma. Sin embargo, tanto en un caso como en el otro, no se ofrece mucha orientación. Por ello, resulta de interés desglosar esta cuestión, para disponer de bases sólidas desde las que construir un SGSI que realmente satisfaga las necesidades de las partes interesadas en ISO 27001.

Leer más
Documentación en ISO 27001

Documentación en ISO 27001: obligatoria y no obligatoria

Documentación en ISO 27001

Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.

En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.

Leer más