ISO 27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Esta norma no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos. Aunque su implantación se resumirán en el punto 8 a continuación se citan los principales puntos que contiene la norma:
- Introducción: generalidades e introducción al método PDCA (“Plan, Do, Control, Act”).
- Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.
- Normas para consulta: otras normas que sirven de referencia.
- Términos y definiciones: breve descripción de los términos más usados en la norma.
- Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.
- Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.
- Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.
- Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.
- Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.
- Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.
- Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
- Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.
- Bibliografía: normas y publicaciones de referencia.
|
