ISO 27001
La variedad de normas que podemos encontrar es infinita. Normas orientadas a la calidad, como el caso de la ISO 9001 o al medio ambiente como la ISO 14001. Podemos enumerar otras muchas como la ISO 20000, ISO 22301, ISO 27001, ISO 31000, ISO 39001, ISO 45001, etc. Además, en relación a estas normas encontramos diferentes maneras de lograr la acreditación o certificación de las mismas.
Si deseas conocer más acerca de la norma ISO 27001 puedes visitar otro de nuestros artículos, como por ejemplo “ISO 27001:2013, ¿cómo definir el alcance del Sistema de Gestión de Seguridad de la Información?”
Para saber por dónde podemos empezar vamos a seguir estos pasos:
Para las organizaciones
El organismo encargado de publicar las normas es la Organización Internacional de Normalización (ISO). Este es un organismo internacional fundado por organizaciones de todo el mundo. La finalidad principal es la publicación de las normas, de forma que se ofrezca conocimiento sobre las mismas y se mejoren las prácticas llevadas a cabo en las distintas organizaciones. Por ello, existen alrededor de 20.000 normas que se encuentran reconocidas internacionalmente.
Las normas de gestión ISO son sólo una parte de esas 20.000 normas cuya creación es ayudar a las organizaciones para mejorar las operaciones en ciertas áreas.
Certificación vs. Inscripción
Cuando decimos que una organización ha llevado a cabo una implantación de un estándar como puede ser la norma ISO 27001, queremos decir que ha completado con total éxito la auditoría de certificación en la ISO 27001. El organismo de certificación es el encargado de emitir el certificado, o registro.
Mientras que en América del Norte es más frecuente el uso del término “registro”, en el resto del mundo se utiliza con más fuerza el término “certificación”. Por ello, podemos preguntarnos si existe alguna diferencia entre ambos. La respuesta técnica sería que sí existe diferencia, aunque en la esencia del concepto realmente no.
En referencia a la certificación entendemos que es el organismo de certificación el encargado de emitir el certificado. Este pone de manifiesto que la organización es compatible con la norma, en este caso con la ISO 27001. Respecto del registro, se entiende como aquel momento en el que el certificado es registrado en el organismo de certificación.
La Organización Internacional de Normalización recomienda el uso del término “certificación”, por lo que se utilizará este término en el resto del artículo con la connotación que hemos visto.
Organismo de certificación vs. Registro
Esta diferencia surge de manera directa del empleo de los términos “certificación” y “registro”. En América del Norte se utiliza con mayor frecuencia el término “registrador”, mientras que en el resto del mundo se usa con más fuerza el término “organismo de certificación”.
La ISO recomienda que el empleo del término “organismo de certificación”.
Acreditación de certificación
Para que los organismos de certificación puedan llevar a cabo las auditorías de certificación y emitir los certificados necesitan obtener una licencia. A esta licencia se le denomina acreditación. De esta forma podemos decir que los organismos de certificación se encuentran acreditados mientras que las empresas están certificadas.
Por lo general, en cada país podemos encontrar distintos organismos de certificación. Desde pequeños organismos de certificación a grandes corporaciones multinacionales.
Los organismos de acreditación suelen publicar con frecuencia un listado de todos aquellos organismos de certificación que se encuentran acreditados en cada país. Estos organismos certificados deben de ser compatibles con la norma ISO 17011 sobre requisitos generales para los organismos de acreditación. La razón de esta compatibilidad es que este estándar es el encargado de definir el proceso de acreditación.
Para las personas
Para poder llevar a la cabo la implementación de un estándar en una organización se necesita a una persona preparada para auditar el sistema de gestión ISO 27001.
En relación a la acreditación, existe un patrón muy similar al que hemos descrito anteriormente. Es decir, si quiere que una empresa proporcione certificados de formación, tiene que estar acreditado por un organismo de acreditación. Dicha institución debe ser compatible con la norma ISO 17024 sobre requisitos generales para los organismos que realizan certificación de personas.
Certificación personal frente a la certificación de formación
En la mayor parte de los casos, las instituciones acreditadas no proporcionan de manera directa cursos a los estudiantes. Es más frecuente la existencia de una red de socios que proporcionan estos cursos acreditando su licencia y supervisión.
La relación existente entre las instituciones acreditadas y los proveedores de formación funciona de dos maneras distintas:
- Los proveedores de formación utilizan cursos desarrollados por instituciones acreditadas. Y posteriormente la institución acreditada emite los certificados a los estudiantes.
- La organización de formación desarrolla su propio curso y una institución acreditada los certifica.
Certificar los cursos es obligatorio para los proveedores de cursos de formación como el de auditor. Esta es la única manera de obtener el reconocimiento de las empresas de certificación que contrata a los auditores de dichos certificados.
Software ISO 27001
Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…