SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

SERVICIOS DE AUDITORÍA, CERTIFICACIÓN Y CAPACITACIÓN

SGS_SSC_NG_ISO_27001_PMS021.Esp.indd 1 5/9/11 5:08 PM

 ¿CÓMO PUEDES MANTENER LA SEGURIDAD DE LA INFORMACIÓN A LARGO PLAZO?
SERVICIOS DE AUDITORÍA, CERTIFICACIÓN
Y CAPACITACIÓN ISO 27001 DE SGS
La mayoría, por no decir todas
las organizaciones de hoy en
día, no podrían funcionar sin
sistemas modernos y seguros
de tecnologías de información.
Cualquier interrupción en la
calidad, cantidad, distribución
o relevancia en sus datos e
información puede hacer peligrar
un negocio. La seguridad de
los sistemas de información,
especialmente de la información
crítica para la empresa,
debe ser gestionada activa y
constantemente para poder
asegurar la continuidad de las
operaciones y la seguridad de
datos y sistemas. Es un desafío,
pero también una oportunidad
para destacar de la competencia y
demostrar una sólida cultura en la
gestión de seguridad de
la información.
ACERCA DE ISO 27001:2005
El estándar ISO 27001:2005 sobre
Sistemas de Gestión de Seguridad de
la Información (ISMS por sus siglas en
inglés) considera todos los elementos
riesgosos. Consta de tres principios
básicos: Confidencialidad, Integridad y
Disponibilidad, los cuales cubren
once áreas:
• Política de seguridad;
• Organización de la seguridad
de información;
• Gestión de recursos;
• Seguridad de recursos humanos;
• Seguridad física y medioambiental;
• Gestión de comunicaciones
y operaciones;
• Control de acceso;
• Adquisición, desarrollo y
mantenimiento de sistemas;
SGS_SSC_NG_ISO_27001_PMS021.Esp.indd 2
• Gestión de incidentes de seguridad
de información;
• Gestión de continuidad del negocio; y
• Cumplimiento.
El primer paso para obtener la
certificación ISO 27001:2005 es definir
el alcance de la política de ISMS. Este
paso es crítico para identificar los
peligros a los que se está expuesto,
y para tomar una decisión sobre un
enfoque sistemático de cómo analizar
estos riesgos. Un ISMS exitoso
incorpora los pasos básicos para la
implementación, operación, revisión,
mantenimiento y mejora del sistema.
BENEFICIOS
La certificación ISO 27001:2005 mejora
la credibilidad de la organización y
demuestra la integridad de datos y
sistemas, así como el compromiso con
la seguridad de la información.
También puede transformar la cultura
de la organización, tanto interna
como externamente, abriendo nuevas
oportunidades de negocios con clientes
atentos a la seguridad, mejorando la
ética de los empleados y reforzando
el concepto de confidencialidad en
el lugar de trabajo. Además, permite
implementar un sistema de seguridad de
información y reducir riesgos potenciales
de fraude, pérdidas de información y
divulgaciones.
¿CÓMO FUNCIONA EL PROCESO
DE CERTIFICACIÓN?
El proceso de certificación
ISO 27001:2005 consta de seis pasos:
Paso A – SGS entrega una propuesta
establecida en función del tamaño y
la naturaleza de la organización. Si se
acepta la propuesta, se puede proceder
con la auditoría.
Paso B – Puedes solicitar a SGS que
lleve a cabo una ‘pre-auditoría’ para
darte una idea del nivel de preparación
de la organización para la auditoría.
Si bien ese paso es opcional, ha
demostrado en más de una ocasión
ser de gran utilidad para identificar las
debilidades de un sistema e incrementar
tu confianza antes que se lleve a cabo la
auditoría formal.
Paso C – La primera parte de la auditoría
formal es la ‘Fase 1 – Evaluación de
Preparación’. Esto nos permite evaluar
hasta qué punto el sistema documental
es conforme con los requerimientos de
la norma, entender mejor la naturaleza
de la organización, planificar el resto
de la auditoría lo más eficientemente
posible y empezar a examinar los
elementos clave del sistema. Después
de esta evaluación recibirás un
informe en el que se identificarán
todos los hallazgos o incumplimientos,
permitiendo la toma de acciones
inmediatas, de ser necesario.
Paso D – Esta es la ‘Fase 2’ del proceso
de auditoría. Incluye entrevistas y
verificación de registros. Mediante la
observación de las prácticas de trabajo,
se determina el grado de conformidad
de los procesos actuales con la norma
y el sistema que está documentado.
Al final de esta fase se presentan los
hallazgos de la auditoría clasificados
como No Conformidades mayores o
menores, así como las observaciones
y oportunidades de mejora. Una vez se
hayan tratado las No Conformidades,
se llevará a cabo una revisión técnica
de la auditoría de parte de un Gerente
de Certificación autorizado de SGS para
confirmar la emisión del certificado.
Paso E – Se establecerá una agenda
para las visitas de seguimiento a
intervalos de seis o doce meses,
dependiendo del contrato. Durante
estas visitas, verificaremos que se haya
puesto en práctica el plan de acción
para las No Conformidades detectadas
en la visita anterior, y se evalúan los
procesos mandatorios y otras partes
seleccionadas del sistema, de acuerdo
con el plan de auditoría suministrado
antes de cada visita.
Paso F – Antes de los tres años de
la certificación inicial, la visita de
seguimiento se amplía para realizar la
auditoria de re-certificación. Las visitas
de seguimiento continuarán de la misma
manera en un ciclo de 3 años.
5/9/11 5:08 PM
 PROCESO DE CERTIFICACIÓN ISO 27001:2005
Evaluación y certificación
PASO A PASO C
Acuerdo de Fase 1 de
Contrato auditoría
PASO B Cierre y planes de
acción de
Pre-auditoría No-Conformidades
opcional identificadas
CAPACITACIÓN RELACIONADA CON
ISO 27001:2005
Ofrecemos una gran variedad de cursos
de capacitación para todos los niveles
de especialización y aptitud. Nuestra
cartera de cursos de capacitación para
ISO 27001:2005 está diseñada para
cumplir con los requisitos de cualquier
organización que use el
ISO 27001:2005, e incluye:
• Introducción e iniciación a los ISMS
(acreditado por IRCA);
• Auditor interno ISMS
(acreditado por IRCA);
• Conversión de auditor a ISMS
(acreditado por IRCA);
• Auditor líder ISMS (acreditado por
IRCA); y
• Arquitectura y proyecto de gestión
de ISMS.
Por favor visita www.sgs.com/training
para ver la programación de cursos de
ISO 27001:2005 en tu región.
SGS_SSC_NG_ISO_27001_PMS021.Esp.indd 3
Visitas de seguimiento típicamente en intervalos
de 6 a 12 meses
Emisión de
PASO D Certificado al PASO E
Fase 2 de completarse Visitas de
auditoría una Auditoría seguimiento
Exitosa
Ciclo de certificación típico de tres años
OTROS SERVICIOS RELACIONADOS CON
SISTEMAS DE GESTIÓN DE SEGURIDAD
DE INFORMACIÓN
SGS es también conocido por sus
soluciones para otras necesidades
relacionadas con sistemas de gestión
tales como calidad, medioambiente,
servicios informáticos, y continuidad
del negocio:
• Nivel de madurez: SGS puede ayudar
a identificar y determinar el nivel
de madurez del ISMS actual para
asegurar un mejoramiento continuo o
para iniciar un proyecto. Se entregará
un documento de análisis con un
gráfico radar, hallazgos objetivos y
conclusiones constructivas. Sería
aconsejable realizar un análisis
completo, ya sea antes del proyecto
de ISMS, o anualmente para
identificar progresos y logros;
• Servicios de auditoría, certificación y
capacitación del estándar de gestión
de continuidad del negocio (BS 25999);
• Sistemas integrados de gestión: El
estándar ISO 27001:2005 puede ser
adoptado en organizaciones de todo
tipo o tamaño. El ISMS se puede
auditar y certificar simultáneamente
con otros sistemas de gestión ya
implementados; y
• Soluciones de auditoría en base a
criterios adicionales y diseñados
especialmente para los controles
de seguridad de la información:
SGS puede ayudar a desarrollar los
criterios de rendimiento y la lista de
verificación, o simplemente verificar
el rendimiento en base a
medidas existentes.
Cierre y planes de acción PASO F
de No-Conformidades Auditoría de
identificadas re-certificación
¿POR QUÉ SGS?
SGS es el líder mundial en inspección,
verificación, análisis y certificación. Es
reconocido como referente mundial en
calidad e integridad. Empleamos a más
de 64.000 personas y operamos una red
de más de 1.250 oficinas y laboratorios
alrededor del mundo.
Miramos mas allá de las necesidades
de nuestros clientes y de la sociedad
para ofrecerles servicios líderes en el
mercado, donde sea que éstos
sean requeridos.
Asociarse con SGS te abrirá las puertas
a un mejor desempeño de los procesos,
aumentando el nivel de competencia
de tu personal, la consistencia y
cumplimiento de las cadenas de
suministros, así como mejores
relaciones con tus clientes, dándote
reales ventajas competitivas. Trabaja con
el líder mundial, y comprométete a llevar
tu organización al siguiente nivel.
Tenemos una historia de éxitos en la
ejecución de proyectos a gran escala, así
como en proyectos internacionales muy
complejos. Con presencia en todas las
regiones alrededor del mundo, nuestra
gente habla el lenguaje y entiende
la cultura de los mercados locales, y
opera a nivel internacional de manera
constante, confiable y efectiva.
PARA SABER MÁS DE CÓMO SGS
PUEDE AYUDARTE A SUPERAR LAS
EXPECTATIVAS DE TUS CLIENTES,
VISITA WWW.SGS.COM/ISO27001
O ENVÍA UN CORREO ELECTRÓNICO A
CERTIFICATION@SGS.COM PARA
MÁS INFORMACIÓN.
5/9/11 5:08 PM
 WWW.SGS.COM
© SGS SA 2011. TODOS LOS DERECHOS RESERVADOS

SGS_SSC_NG_ISO_27001_PMS021.Esp.indd 4 5/9/11 5:08 PM