ISO 27001:2005: INTEGRACIÓN CON LA ISO 9001:2008 E IMPORTANCIA DE SU IMPLANTACIÓN
Enviado por Ana Sofía Torres Valcárcel • 6 de Noviembre de 2016 • Ensayos • 2.429 Palabras (10 Páginas) • 175 Visitas
ISO 27001:2005: INTEGRACIÓN CON LA ISO 9001:2008
E IMPORTANCIA DE SU IMPLANTACIÓN
Ana Sofía Torres Valcárcel
asotoval@gmail.com
Especialización en Gestión de Productividad y Calidad
Universidad Autónoma de Colombia
RESUMEN
Este paper tiene como intención el análisis de dos tipos de sistemas de gestión, el sistema de gestión de la calidad y el sistema de gestión de seguridad de la información. El objetivo no es establecer cuál de los dos sistemas es mejor ninguno de los dos ha de tener desventaja frente al otro, solo aspectos positivos y sinergia al llegar a combinarlos. Para analizar estos dos sistemas que se enmarcan dentro la de la gestión, se ha de tener en cuenta las similitudes consistentes en la aplicación del modelo PDCA Otro aspecto a considerar es el esfuerzo al incorporar los riesgos de la información en cada tipo de sistemas. No es posible gestionar el riesgo adecuadamente sin estrecha relación con las ventajas que ofrecen las diferentes tecnologías de la información y las comunicaciones en estos días. PALABRAS CLAVES: Sistemas de Gestión de Seguridad de la información, Modelo PHVA, Sistemas de Gestión de la calidad, iso 27001:2005, iso 9001:2008. |
INTRODUCCIÓN. El amplio uso y Diversificación de las Tecnologías de la información y las comunicaciones (TIC’s) conlleva para las organizaciones a mantener una relación de dependencia absoluta de la confidencialidad, integridad y disponibilidad de la información que manejan y arrojan sus sistemas de gestión. Lo anterior con el fin de calificar mejor en el mercado actual altamente competitivo mediante una atención al usuario o cliente de una manera eficaz y eficiente ofreciendo un producto y servicio de calidad.
De igual manera la diversificación de las TIC obliga a que las organizaciones se mantengan preparadas y puedan adaptarse a las demandas del mundo, logrando un mecanismo de entrenamiento para que sus colaboradores puedan reaccionar rápidamente a ellas. Gestores de información y otros profesionales de las TIC son responsables de la calidad y la integridad de la información producida ellas. Esto Significa que su papel no es sólo administrar y mantener la infraestructura de las TIC sino que también es mejorar los servicios de TI, que son capaces de ofrecer valor agregado a las unidades de negocio. Por lo tanto la gestión de la información adquiere una posición esencial en los negocios en general la administración y la estrategia.
ORIGENES DE LAS NORMAS
La palabra ISO (del griego, ἴσος (isos), 'igual')[1], fue tomada por la Organización Internacional para la Estandarización (International Organización for Standarization). Este organismo fue fundado tras la Segunda Guerra Mundial en el
año de 1946 y tenia como objetivo establecer un conjunto común de normas para los sectores de la manufactura, el comercio y las comunicaciones.
ISO 9001:2008
La Norma ISO 9001 especifica los requisitos para un Sistema de Gestión de la Calidad (SGC)[2] que pueden utilizarse para su aplicación interna por las organizaciones, para certificación o con fines contractuales. Se centra en la eficacia del sistema de gestión de la calidad para satisfacer los requisitos del cliente.
ISO 27001:2005
La Comisión Electrotécnica Internacional (CEI o IEC por sus siglas en inglés, International Electrotechnical Commission) es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas fundada en el año de 1904. Esta misma organización fue la que adoptó el Sistema Internacional de Unidades propuesto por Giovanni Giorgi como sistema MKSΩ (metro, kilogramo segundo, ohmio).
SIMILITUDES DE LAS DOS NORMAS
Al realizar un análisis de las normas se identifican varias relaciones:
Relación total
El requisito de la norma ISO 27001 ya está incluido por algún requisito de la norma ISO 9001.
ISO 9001:2008 |
4.2.1.d) Requisitos de la documentación (Generalidades) “La documentación del sistema de gestión de la calidad debe incluir: los documentos, incluidos los registros que la organización determina que son necesarios para asegurarse de la eficaz planificación, operación y control de sus procesos.” |
ISO/IEC 27001:2005 |
4.3.1g) Requisitos documentación (Generalidades). “La documentación debe incluir lo siguiente: Los procedimientos documentados necesarios por la organización para asegurar la planeación, operación y control de sus procesos de seguridad de la información y describir cómo medir la efectividad de los controles.” |
Figura 1. Ejemplo de Relación total existente entre la norma ISO 9001:2008 y la norma ISO 27001:2005
Relación parcial
El requisito de la norma ISO/IEC 27001 citado amplía algún requisito de la norma ISO 9001 con aspectos propios de la gestión de la seguridad de la información.
ISO 9001:2008 |
6.1. a) Gestión de los recursos (Provisión de recursos) “La organización debe determinar y proporcionar los recursos necesarios para: a) implementar y mantener el sistema de gestión de la calidad y mejorar continuamente su eficacia” |
ISO/IEC 27001:2005 |
3.1 Compromiso de la dirección. Apartado c) |
Figura 1. Ejemplo de Relación parcial existente entre la norma ISO 9001:2008 y la norma ISO 27001:2005
Relación inexistente
La norma ISO/ICE 27001 contempla requisitos propios de la gestión de la seguridad de la información.
- Integration needs to be explicit and active
ISO/IEC 27001:2005 |
5.2.1. a) f). Gestión de los recursos (Provisión de recursos) “La organización debe determinar y proporcionar los recursos necesarios para: a) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI. f) Donde se requiera, mejorar la efectividad del SGSI”. |
...