¿Qué es la NTP ISO 27001?

SISTEMA DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN

En Perú contamos con la NTP ISO 27001 para garantizar tanto la confidencialidad como la integridad de la información, pero también de los sistemas que lo tratan.

La NTP ISO IEC 27001 para los Sistemas de Gestión de la Seguridad de la Información o SGSI hace posible que las organizaciones evalúen el riesgo y apliquen los controles indispensables para proceder a su mitigación o total eliminación.

Como ocurre con otras normas ISO, la NTP ISO 27001 permite que las organizaciones se diferencien del resto de las entidades que compiten en el mismo mercado y además la reputación también aumenta niveles considerables.

Para realizar una adecuada gestión de la seguridad de la información, las organizaciones deben recurrir también a la ISO 27002 que aporta recomendaciones de las mejores prácticas en la gestión de la seguridad de la información.

NTP ISO 27001

ESTRUCTURA DE LA NTP ISO 27001

La NTP ISO 27001, sigue la Estructura de Alto Nivel, también conocida como Anexo SL. A continuación hablaremos de cada uno de sus apartados

1. Objeto y campo de aplicación: Después de la introducción, este es el primer apartado de la norma, en el que indica una serie de recomendaciones sobre el uso, aplicación y objetivo de la NTP ISO 27001.
2. Referencias Normativas: En esta cláusula se menciona la importancia de consultar documentos vinculados con la implementación y mantenimiento de la norma ISO 27001.
3. Términos y definiciones: En este apartado se incluyen los términos y conceptos empleados a lo largo del texto de NTP ISO 27001.
4. Contexto de la Organización: Es un apartado bastante destacable ya que habla de la necesidad de que las organizaciones conozcan el contexto en el que desarrollan su actividad, a nivel interno y externo.
5. Liderazgo: La cláusula establece que los empleados involucrados en el sistema deben participar en la implementación de la norma. Con esta nueva versión, la alta dirección tiene la responsabilidad de exponer su liderazgo y compromiso, además entre sus funciones destacamos la de elaborar la política de seguridad de la información, la cual debe ser conocida por toda la organización. Del mismo modo se debe encargar de la asignación de responsabilidades, roles y autoridades entre los trabajadores.
6. Planificación: En este apartado de la NTP ISO/IEC 27001, centra su atención en la necesidad de identificar los riesgos y oportunidades cuando se va a realizar la planificación del Sistema de Gestión de Seguridad de la Información, así como cuando se establecen los objetivos y la manera de alcanzarlos.
7. Soporte: Este punto de la norma indica que los recursos., competencias, conciencia, comunicación y la información documentada son vitales para garantizar el correcto funcionamiento del Sistema de Gestión de Seguridad de la Información o SGSI.
8. Operación: Esta cláusula establece que es necesario planificar, implementar y controlar aquellos procesos establecidos por la organización. Además también señala que se debe valorar los riesgos a los que está sometida la seguridad de la información y tomar medidas para reducirlos o eliminarlos.
9. Evaluación del desempeño: Este apartado de la NTP ISO 27001 define que es imprescindible realizar un seguimiento, medición, análisis, evaluación, auditoría interna t revisión por parte de la dirección del SGSI para garantizar que se desarrolla como debería lo planificado
10. Mejora: A través de este apartado se señala las obligaciones que tienen las organizaciones tras detectar una no conformidad en el Sistema de Gestión de Seguridad de la Información para asegurar la mejora continua del funcionamiento del SGSI.

Nueva ISO 27001 2013

Hace unos años que se publicó la nueva versión de la norma, en concreto entró men vigor en el año 2013. En la presente edición de la norma ISO 27001, podemos apreciar novedades que no estaban presentes en la anterior. Desde que fue publicada, aquellas organizaciones que han tenido alguna relación con la implementación y mantenimiento de los Sistemas de Gestión de Seguridad de la Información tienen que tener en cuenta para que este funcione y cumpla con todos los requisitos propuestos por la norma.

Entre los cambios, destacamos:

• • No está el apartado relativo a “Enfoque procesos”, el cual establecía la metodología según el ciclo Deming o PHVA, garantizando más flexibilidad.
  • Se suprime el carácter obligatorio de ciertos documentos, siendo obligatorio simplemente la declaración de aplicabilidad.
  • Los requisitos y controles establecidos se han revisado.
  • Se ha incluido el enfoque basado en riesgos durante la fase de planificación y operación del Sistema de Gestión de Seguridad de la Información.

Software para ISO 27001

LA HERRAMIENTA TECNOLÓGICA QUE AUTOMATIZA LA IMPLANTACIÓN DE NTP ISO 27001

La NTP ISO 27001 es el referente para implantar un Sistema de Gestión de Seguridad de la Información, por tanto es imprescindible simplificar el trabajo que requiere a través de la automatización.

ISOTools es un software que ayuda a las organizaciones comprometidas con la seguridad de la información, está diseñado para implementar, mantener y mejorar continuamente el SGSI según la norma ISO 2001 y también cumpliendo con las buenas practicas definidas por la ISO 27002.

Además ISOTools hace posible que las organizaciones también puedan aplicar los requerimientos de normativas locales de Perú referentes a la seguridad de la información.

Con este software, la integración de la NTP ISO 27001 con otras normas ISO como ISO 9001 o ISO 14001 también es posible debido a la estructura modular con la que cuenta la herramienta.