07. Pasos para lograr ISO 27000

pasos-iso-27000

Pasos a seguir

pasosPara lograr implantar ISO 27000 se pueden seguir un sinnúmero de pasos o caminos, y cada autor muestra su receta personal. Acá les muestro lo que considero deben ser los sencillos pasos para lograr implantar ISO 27000 en una organización:

  1. Lograr el compromiso de la Gerencia.
  2. Establecer y adiestrar el equipo de Implantación.
  3. Elaborar la documentación del SGSI.
  4. Auditar el SGSI.

A continuación se explicará cada una de ellas.

Lograr el compromiso de la Gerencia.

GerenciaSin el compromiso de la Gerencia, el Sistema no tendrá el apoyo ni la fuerza para su aceptación e implantación en la organización.

El efecto del apoyo debe caer en cascada, desde los niveles altos hacia abajo en la organización.

Establecer y adiestrar el equipo de Implantación.

equipoEl equipo debe tener un líder establecido.

Todos los miembros deben ser designados formalmente y deben recibir adiestramiento en Gestión de ISO 27000, Documentación y Auditoría, como mínimo.

Elaborar la documentación del SGSI.

documentacionLa documentación se debe elaborar de la manera más sencilla posible.

  • Piense lo que hace
  • Escriba lo que piense
  • Haga lo que escribió

Los manuales deben ser organismos vivos, sujetos a constante modificación, y disponibles para todos los que los requieran.

¿Qué se debe documentar?

  • Evaluación y tratamiento de riesgos
  • Políticas de Seguridad
  • Aspectos Organizativos
  • Gestión de Activos
  • Seguridad del Talento Humano (antes y durante contratación)
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de accesos
  • Adquisición, desarrollo y mantenimiento de S.I.
  • Gestión de incidentes de seguridad

Auditar el SGSI.

auditoriaSe debe verificar, mediante Auditorías, que el SGSI está apto para funcionar.

Si se presentan No Conformidades, se deben solucionar.

Se pueden hacer Auditorías Internas para verificar, pero se deben hacer Auditorías Externas para la Certificación, por parte de los organismos autorizados.

¿Cuánto dura?

tiempoY, ¿en cuánto tiempo se hace?

Depende del compromiso, de los recursos empleados, del conocimiento, y de factores externos que pueden influir.

En promedio se puede llevar de 12 a 18 meses para su implantación.

Banner De todo un Poco (1) 600 px

Publicado por

Luis R Castellanos

IT Professor | Spanish Instructor - Profesor de TI | Instructor de Español