sábado, 13 de agosto de 2011

Proceso de certificación de la norma ISO/IEC - 27001


El proceso de solicitud para que una empresa se certifique en la ISO-27001 requiere de paso anteriores como tener implementado el SGSI Sistema de Gestión de Seguridad de la Información  para continuar con el modelo de certificación antes les explicare el modelo SGSI para que tengan claro que es y porque es tan necesario.

El SGS(Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001.
(Información tomada de http://www.iso27000.es/sgsi.html )

La certificación de una empresa bajo la  ISO-27001 la debe realizar un entidad acreditada y certificadora. Esta exige que el SGSI de la empresa tenga en funcionamiento este modelo por los menos  tres meses, ademas de tener el modelo en contaste cumplimiento deben también cumplir con todas demás reglas necesarias, como por ejemplo:

-Hacer una lista de todos los activos de información que tiene la empresa.
- Identificar cuales son las amenazas, vulnerabilidades e impactos que tienes los activos.
-Planes para tratar los riesgos de los activos.
-La mejora continua de la SGSI

Para poder cumplir con los requisitos para la certificación también se es muy recomendable incluir en el modelo otros sistemas como lo son la ISO-9001 y la ISO-14001.

Cuando ya el SGSI esta implementado la entidad certificadora empieza con la auditoria y el proceso de certificación para estos se siguen los siguientes pasos:

-Solicitud para realizar la auditoria 
-Respuesta de la entidad certificadora
-Asignación de auditores y creación del crono-grama a seguir.
-La pre-auditoria
-Análisis de la documentación por el auditor.
- Revisar en el lugar la implementacion de el SGSI 
- Si cumple con todos los requisitos la certificacion
-Las auditorias de seguimiento
-Las auditorias para la re-certificacion estas se dan cada tres años

Cabe decir que durante el proceso se pueden encontrar malas implementaciones, y que estas pueden ser corregidas durante el proceso de certificación.

Dos de las empresas certificadas en Colombia son :

SETECSA S.A
numero de certificación IND102074

Ricoh Colombia, S.A. 
numero de certificación IS 85241



No hay comentarios:

Publicar un comentario