ISO 27001:2005: INTEGRACIÓN CON LA ISO 9001:2008 E IMPORTANCIA DE SU IMPLANTACIÓN

...

3. Comparaciones

ISO 9001:2008 e iso 27001:2005[3]

La Norma ISO 27001 establece un Modelo para implementar, operar, monitorear, revisar, mantener y mejorar un ISMS (Information Security Management System).

La Norma ISO 9001 define los requisitos para un Sistema de Gestión de la Calidad.

Dado que la 27001 toma como modelo la 9001, ambas normas poseen 8 capítulos, nombrados de la misma forma, del 1ero (Objeto y campo de aplicación) hasta el 8vo (Medición, Análisis y Mejora).

Ambas se basan en la Orientación a Procesos:

- La ISO/IEC 27001 adopta una orientación a procesos para el ISMS.

Enfatiza la importancia de:

- Entender los requerimientos organizacionales para un ISMS.

- Implementar y operar controles para manejar Riesgos.

- Monitorear y revisar la performance y efectividad del ISMS.

- Mejorar continuamente el ISMS basado en medidas por objetivos.

La ISO 9001 plantea el enfoque basado en procesos con el modelo Plan-Do-Check-Act o sea Planear, Realizar, Controlar y Actuar para Mejorar; siendo el Plan responsabilidad de la Dirección. Esto implica además realizar la gestión de recursos, controlar la realización de producto y actuar en base a medición, análisis y mejora.

En la 27001 se propone Establecer, Implementar, Operar, Monitorear y revisar el ISMS y actuar manteniendo y mejorando el mismo.

Los capítulos 2 y 3 son Referencias normativas y términos y definiciones propias de cada campo de aplicación, es decir, la ISO 9000 para los Sistemas de Gestión de la Calidad en el caso de la 9001 y la 17799 para los Sistemas de Gestión de la Seguridad en el caso de la 27001, o sea, que las normas referenciadas son diferentes de acuerdo al sistema que se trate de implementar.

El capítulo 4 en ambas normas es el referido a Requisitos Generales, donde si bien difiere el objeto del sistema a implementar, en ambos casos determina que la Organización debe: establecer, documentar, implementar y mantener un sistema de gestión.

Sin embargo, existen algunas diferencias en el contenido de los ítems considerados.

El 4.2 para la 9001 plantea requisitos de Documentación en el caso de la 27001, éstos se encuentran en el ítem 4.3

En el caso de la 27001 se desarrolla en el ítem 4.2 un detalle exhaustivo de cómo debe establecerse ítem 4.2.1, implementarse y operarse el sistema ítem 4.2.2, monitorearse y revisarse el Sistema de Gestión de la Seguridad de la Información en el ítem 4.2.3 y cómo debe mantenerse y mejorar el SGSI en el ítem 4.2.4, es decir, si comparamos los requisitos expuestos en el capítulo 4 para la 9001 podemos decir que los requisitos generales son mucho menos detallados que en el caso de la 27001 y esto es razonable en virtud de que la 27001 es una aplicación específica y técnica del modelo de la 9001.

Luego continúan los ítems según el siguiente detalle: Requisitos de la Documentación, Control de Documentos y Control de Registros.

En la 9001 se establece el Requerimiento del Manual de la Calidad en el ítem 4.2.2 que no está incluido en la 27001. Sin embargo, podemos decir que está implícito el Manual de la Seguridad ya que en el punto 4.2.1 se establece la necesidad de definir una política, determinar, analizar y evaluar los riesgos, determinar el tratamiento de los riesgos seleccionando objetivos de control y controles adecuados y publicando un documento de aplicabilidad del sistema, es decir que finalmente existe documentado y publicado el equivalente a un Manual de la Seguridad de la Información, aunque no esté explícito en la Norma.

Los siguientes capítulos también difieren en su contenido no así en su espíritu. El 5to en ambos casos establece los requisitos de la Responsabilidad de la Dirección para establecer distintos Sistemas de Gestión. En ambos casos existe un compromiso de la Dirección claramente definido, la gestión de recursos de infraestructura y humanos que en la 9001 corresponde al capítulo 6, la revisión por la Dirección a partir de auditorías internas que en la 27001 se visualiza en el capítulo 6, la revisión por la dirección que en la 27001 corresponde al capítulo 7.

Como dijimos, el capítulo 6 de la 9001 se corresponde con la Gestión de Recursos, el capítulo 7 de la 9001 es específico de un Sistema de Gestión Productivo ya que establece los requisitos de diseño, compra y producción de bienes, por lo tanto, no tiene un capítulo equivalente en el 27001, que sólo es un sistema de operación y basado en información.

Finalmente, podemos ver que el capítulo 8 es tanto en espíritu como en contenido similar en ambas normas y que trata de la mejora continua del Sistema basado en acciones correctivas y preventivas.

Como corolario podemos establecer que ambas Normas utilizan el mismo modelo de Gestión basado en un Sistema que se desagrega y relaciona procesos específicos, donde el objeto es diferente pero las actividades y responsabilidades son similares.

IMPORTANCIA DE SU IMPLANTACIÓN

CUESTIONES CLAVE EN EL MOMENTO DE IMPLEMENTAR UN SGSI - TICS

Al tener como objetivo el proceso de establecer un SGSI es necesario definir cuál es la necesidad de información actual en la organización para poder identificar la adecuada. En esta búsqueda se hace necesaria la implementación de diferentes TICS que traen consigo otros procesos beneficiosos:

- Aumento de la automatización: Mediante el uso de las TIC una organización es capaz de alinear su negocio y gestión de la información, es efectiva al ampliar su producción y rendimiento

- Reducción de los costos: A través del uso de las TIC una organización es capaz de utilizar los recursos de manera responsable, reduciendo en sus costos y reduce los costos y otros gastos, volviéndose eficiente.

- Manejo de los riesgos: Mediante la implementación de las TIC, la organización es capaz de ajustar las medidas de seguridad y minimiza los incidentes de seguridad, relacionados con los riesgos y posibles daños, la organización es segura.

ISO 27001: IMPLANTANCIÓN ALTAMENTE