Saltear al contenido principal
ISO-27001

Transición de ISO 27001:2005 a ISO 27001:2013

ISO-27001

ISO 27001

La transición de la ISO 27001:2005 a la ISO 27001:2013 se pueden emplear varias estrategias. A continuación mencionaremos alguna de ellas y las organizaciones podrán elegir la que mejor se adapte a sus necesidades.

  • “Make-over, llevando a cabo cambios mínimos sobre los procesos documentados del SGSI existentes.
  • Aplicar las mejoras indispensables haciendo uso de la transición en el SGSI, lo que supondría un gran aporte para las entidades.

Si la transición se realiza conforme a la primera opción, esta se podría lograr de un modo rápido. Considerando las mejoras que presenta la actual versión de la norma ISO 27001, es aconsejable realizar la transición tan pronto como sea posible y evitar dejarlo para el último momento.

Se puede afirmar que el proceso de transición es dinámico, ya que aunque  las organizaciones establezcan una planificación minuciosa desde el comienzo, ésta siempre puede estar sometida a mejoras. Por lo tanto, las organizaciones pueden determinar si ven importante:

  • Proceder a cambios con vistas al futuro para alcanzar las mejoras previstas.
  • Llevar a cabo modificaciones inmediatas con las que obtener resultados en ese preciso momento.

El primero de los casos se suele dar en aquellas organizaciones que asumen la transición desde una estrategia minimalista. La segunda alternativa está dirigida para organizaciones que utilizan la transición como un motivo para proceder a ejecutar otros cambios.

¿Cómo empezar?

Para seleccionar la mejor opción, las organizaciones deberán proceder a un análisis del Sistema de Gestión de Seguridad de la Información y la norma ISO 27001:2013.

Este análisis será la base para desarrollar las actividades necesarias durante la transición,  del mismo modo ayuda a las organizaciones a detectar las áreas en las que será necesario contar con información documentada.

Cambios en el Sistema de Gestión de Seguridad de la Información

Hay que tener presente que los cambios que se produzcan en los documentos actuales de la organización, se tienen que mantener registrados para asegurar el cumplimiento de la cláusula 7.5 de la ISO-27001.

Información documentada

En la actual versión de ISO27001, se incluye el concepto de “información documentada”, vendría a sustituir el término “documentos” y “registros”. Para cumplir con los establecido por la ISO 27001:2013, las organizaciones tienen que modificar “documentos” y “registros por “información documentada”. Hay que hacer distinciones,  es necesario identificar aquellos documentos en los que se realizan declaración de intenciones.

Política de Seguridad de la Información

En la anterior ISO 27001:2005 encontrábamos un requerimiento indispensable para contar con un Sistema de Gestión de Seguridad de la Información, la política de seguridad de la información.

En la ISO 27001:2013 también hay una cláusula en la que se establece la política de seguridad de la información. Del mismo modo, encontramos un requisito en el que se considera y sustentan criterios de riesgo. En esa misma cláusula queda establecido la necesidad de tener documentada toda la información relacionada con los procesos de evaluación de riesgos.

Es necesario que el personal de la organización conozca qué versión de la norma se está aplicando en este momento y por tanto los requisitos que debe cumplir.

En la ISO 27001:2013 hay otros requerimientos referidos a la información documentada y que se pueden considerar como fundamentos de la política de seguridad de la información como son los criterios empleados para desarrollar la evaluación de riesgos de seguridad de la información.

Evaluación de riesgos

En la ISO 27001 de 2013, queda establecida la necesidad de identificar los activos, amenazas y vulnerabilidades como requerimiento para la identificación de riesgos. Esta versión sigue la estructura general de los requerimientos establecidos en la versión del 2005, por lo que el método que se empleaba con anterioridad será válido para implantar y mantener la ISO 27001:2013.

Términos de alusión para la Alta Dirección

En lo relacionado con la Alta Dirección en esta nueva versión de la norma ISO 27001, será necesario concretar las responsabilidades.

Conciencia

Será necesario llevar a cabo modificaciones para que el Sistema de Gestión de Seguridad de la Información se adecúe a las nuevas cláusulas.

Auditoría interna

En este tema no se aprecian cambios significativos.

Revisión de la gestión

En este caso tampoco hay modificaciones importantes, es posible hacer uso de los procedimientos establecidos según la versión anterior.

Sistema de Gestión de Seguridad de la Información

A través del Software ISO para los Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001, se simplifica todas las actividades relacionadas con la implementación y con el mantenimiento de dicho sistema.

¿Desea saber más?

Entradas relacionadas

Volver arriba