¿Qué es la norma ISO 27001?

La ISO 27001 es una norma internacional de sistemas de gestión que establece los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma proporciona un marco normativo de buenas prácticas para identificar, analizar e implementar los controles necesarios para gestionar y mitigar los riesgos, reduciendo la probabilidad de que se produzca una vulneración de la Seguridad de la Información. Cualquier organización, independientemente del tamaño y el sector, puede aprovechar los requisitos y sistemas de control de la norma ISO 27001 para implantar un SGSI eficaz que pueda certificarse de forma independiente. La certificación acreditada ISO 27001 proporcionada por un organismo de certificación independiente y respetable demuestra su compromiso con la seguridad de la información, proporcionando una perspectiva imparcial con respecto a la solidez y efecacia de su SGSI. Esto contribuye al cumplimiento de las obligaciones contractuales y, en muchos casos, hace las veces de licencia para hacer negocios.

¿Cuáles son las ventajas de la norma ISO 27001 y por qué es tan importante?

Proteja sus datos y reputación La certificación ISO 27001 demuestra que ha establecido un enfoque sistemático basado en los riesgos para la seguridad de la información que impulsa las mejores prácticas en torno a: Identificar los riesgos para la seguridad de la información y ciberseguridad Analizar los riesgos en función del impacto y la probabilidad Evaluar los riesgos y priorizar el momento del abordaje en función de factores relacionados con su negocio Seleccionar las opciones de tratamiento del riesgo Demuestre el cumplimiento de la legislación, los reglamentos y los requisitos contractuales Para obtener la certificación ISO 27001, es necesario que conozca la legislación aplicable como, por ejemplo, el Reglamento General de Protección de Datos de la UE o reglamentos como la HIPPA. Tiene un impacto positivo en la gestión del riesgo y la gestión corporativa, le ayuda a demostrar el cumplimiento y a cumplir los requisitos contractuales. Ventaja competitiva La certificación de LRQA ofrece a los clientes y las partes interesadas la confianza de que los riesgos de seguridad, que podrían estar relacionados con las TI, las personas, el medio ambiente y la continuidad de negocio, se aborden adecuadamente para proteger su información. La certificación ISO 27001 es una confirmación clara de sus capacidades, demuestra que opera de acuerdo con las mejores prácticas reconocidas internacionalmente y esto le permite obtener nuevas oportunidades de negocio.

¿Cómo funcionan las auditorías de la norma ISO 27001?

Las auditorías de la norma ISO 27001 siguen el mismo planteamiento que otros sistemas de gestión basados en el Anexo SL. Puede comenzar con la formación y el gap analysis, pero el proceso formal implica una auditoría del diseño del SGSI (fase 1) y una auditoría de su funcionamiento (fase 2). Los resultados de estas auditorías los revisa técnicamente una persona cualificada e independiente de LRQA para asegurar la consistencia y la adecuación a las prácticas recomendadas establecidas por los acreditadores. Tras la aprobación del certificado de la norma ISO 27001, comienza un ciclo de tres años de auditorías de seguimiento que conduce a una auditoría de renovación para los tres años siguientes. El seguimiento permite que LRQA y su organización gestionen los cambios y garanticen que las auditorías sean relevantes para las necesidades actuales de la industria.

¿Cuánto dura la certificación ISO 27001?

Una vez aprobada, la certificación dura tres años, siempre que se demuestre la eficacia del mantenimiento del sistema a través del programa de seguimiento.

¿Qué se incluye en el ámbito de aplicación habitual del SGSI y en una declaración de aplicabilidad?

Una declaración típica del alcance del certificado de SGSI incluye actividades relacionadas con el suministro de productos y servicios. No necesita incluir actividades internas ni procesos de SGSI. El objetivo es garantizar al lector la protección de la información proporcionada al recibir el producto o servicio. La declaración de aplicabilidad hace referencia a la lista de controles seleccionados. No proporciona detalles de esos sistemas de control, sino una referencia rastreable a una declaración de control utilizada como base para la última auditoría de la norma ISO 27001. A veces, las organizaciones tienen una versión pública que se puede compartir que simplemente enumera los controles seleccionados del Anexo A, pero no es un requisito obligatorio.

¿Cuánto cuesta obtener la certificación ISO 27001?

El gasto se basa en el número de días de auditoría que se corresponde con el número de empleados dentro del alcance del SGSI. El número de días de auditoría se publica en la norma de acreditación ISO 27006, disponible para consulta. La implicación de una entidad de certificación acreditada como LRQA le garantiza la obtención de un plazo de auditoría basado en las prácticas recomendadas de la industria que es comparable a todos los demás organismos de certificación acreditados. Por ejemplo, una organización con 100 miembros de personal a tiempo completo (ETC) debería prever una auditoría inicial (fase 1 + fase 2) con una duración de entre 8 y 12 días, en función de los sectores en los que opere, la complejidad de su entorno laboral, si participa en el desarrollo de programas informáticos o si necesita integrar la seguridad en el producto. El programa de seguimiento posterior sería de 3-4 días/año y la renovación de 6-8 días.

Ya contamos con la norma ISO 9001. ¿Puedo integrarla con la norma ISO 27001?

Sí, ya que tanto la norma ISO 9001 como la norma ISO 27001 se basan en el modelo genérico de buenas prácticas para los sistemas de gestión (Anexo SL), los procesos de gestión fundamentales se pueden optimizar para cumplir los requisitos de ambas normas. De hecho, el diseño de un sistema para abordar ambos mejora la eficacia de la gobernanza organizativa. Por ejemplo, los objetivos empresariales como el crecimiento, a menudo requieren el desarrollo de nuevos productos en los que la seguridad se considera, por lo general, un estándar de calidad en línea con las expectativas del mercado. La integración también puede minimizar las duplicidades, y esto puede reducir el tiempo de auditoría y ofrecer una opción rentable.

¿Cuál es el proceso de certificación habitual de la norma ISO 27001?

El camino que sigue su organización para obtener la certificación de la norma ISO 27001 suele depender del nivel de madurez de su empresa en cuanto a seguridad de la información y la gestión del riesgo en general, entre otros factores. Pero el proceso habitual para obtener la certificación ISO 27001 incluye tres pasos principales. Auditoría etapa 1 - Revisión y planificación de documentación: Su auditor revisará el diseño y la documentación de sus sistemas de gestión; en la mayoría de los casos, esto se realiza de forma remota. Auditoría etapa 2 - Evaluación de la aplicación: Su auditor evaluará la aplicación y efectividad del SGC existente de acuerdo con los requisitos de la norma ISO 27001. Si no existen no conformidades, recibirá la certificación. Esta etapa se puede llevar a cabo de forma remota o in situ. Promueva su certificación ISO 27001: Su certificación demuestra su compromiso con las buenas prácticas reconocidas internacionalmente y la mejora continua, esto le permite conseguir nuevos negocios y satisfacer las exigencias de los clientes.

¿Qué es la norma ISO 27002:2022 y qué impacto tiene?

La publicación de la norma ISO 27002:2022 proporciona una actualización de la lista de sistemas de control incluidos en la norma ISO 27001, que se remonta a 2013. La revisión de los sistemas de control refleja los avances relacionados tanto con las amenazas como con las prácticas recomendadas actuales, y la ampliación del alcance de la norma ISO 27002 contribuye a garantizar que las medidas de gestión del riesgo sean extensas y eficaces. Las organizaciones pueden utilizar la lista exhaustiva de sistemas de control para tratar los riesgos que han identificado o descubrir posibles lagunas, y esto les permite mantenerse un paso por delante del complejo y cambiante panorama de amenazas al que se enfrentan los negocios actuales.

¿Se está desarrollando una nueva versión de la norma ISO 27001?

Está previsto que se publique una nueva versión de la norma ISO 27001 a finales de octubre de 2022. Incluirá los nuevos sistemas de control descritos en la norma ISO 27002:2022, que exigirán a las organizaciones revisar su evaluación de riesgos y determinar si deben implementarse nuevos tratamientos de riesgos.

Certificación ISO/IEC 27001 (SGSI) para la gestión de la seguridad de la información

Obtenga la certificación y la formación de la mano de los expertos de LRQA

Solicite un presupuesto Formación sobre la norma ISO 27001 Transferencia a LRQA

Un enfoque basado en normas para gestionar los riesgos de seguridad de la información. Para cualquier organización, independientemente de su tamaño o sector, la norma ISO/IEC 27001 proporciona una base sólida para una estrategia exhaustiva en materia de información y seguridad de la información. La norma describe un marco de buenas prácticas para los SGSI con el fin de mitigar los riesgos y proteger los datos críticos para el negocio a través de la identificación, el análisis y los controles prácticos. La certificación acreditada de la norma ISO 27001 demuestra que dispone de los procesos y controles necesarios para defender la información de su organización, y la de sus clientes, frente a un panorama de amenazas cada vez más complejo. Consulte las Preguntas frecuentes sobre la norma y nuestra oferta.

Nuestros servicios ISO/IEC 27001

Nuestros auditores son expertos en la evaluación de la norma ISO 27001, lo que le ayudará a garantizar que sus Sistemas de Gestión de Seguridad de la Información cumplen los requisitos y directrices más recientes. Vamos más allá de la prestación de servicios de certificación con nuestros programas de formación líderes en el sector, diseñados para mejorar las competencias de su equipo.

Formación/Capacitación

Amplíe sus conocimientos sobre la norma ISO 27001 con una gama de cursos diseñados para diferentes niveles de experiencia, impartidos en múltiples modalidades de aprendizaje.

Gap analysis

Un servicio optativo en el que uno de nuestros auditores expertos le ayudará a detectar cualquier área crítica, de alto riesgo o vulnerable de su sistema con carácter previo a su auditoría oficial de la norma ISO 27001.

Certificación acreditada

Un proceso independiente de dos fases que proporciona una visión clara de sus competencias y le ayuda a obtener nuevas oportunidades de negocio y generar confianza entre las partes interesadas.

Auditorías integrales

Si ha implantado varios sistemas de gestión, podría aprovechar las ventajas que ofrece la integración de un sistema de auditoría y seguimiento más eficaz y rentable.

Un enfoque integral de la información y la ciberseguridad

Nuestra amplia experiencia y conocimientos técnicos, respaldados por nuestra amplia cartera de ciberseguridad, nos permite trabajar en colaboración con su negocio, ayudando a identificar las amenazas específicas a las que se enfrenta antes de proporcionar soluciones para mitigarlas. Podemos certificar sus sistemas de gestión, identificar vulnerabilidades y ayudar a prevenir ataques e incidentes que podrían afectar a la integridad de su marca, a las finanzas y a las operaciones de negocio.

Servicios de seguridad de la información y ciberseguridad de LRQA - perspectiva integral.png

¿Por qué trabajar con nosotros?

Capacidad global

Operamos en más de 55 países, con más de 250 especialistas dedicados a la ciberseguridad y más de 300 auditores de Seguridad de la Información altamente cualificados en todo el mundo, podemos ofrecer un servicio local con una dedicación a la excelencia coherente a nivel mundial.

Ejecución flexible

La mayoría de las veces, todos nuestros servicios de formación y certificación pueden impartirse presencialmente o de forma remota mediante el uso de una tecnología segura. Si opta por nuestros métodos de prestación de servicios en remoto, recibirá la misma calidad de servicio con diversas ventajas añadidas como la flexibilidad, rapidez y acceso a expertos internacionales.

Pioneros

Fuimos los primeros en recibir la acreditación UKAS para ofrecer servicios de certificación de una amplia gama de estándares en todo el mundo. Seguimos siendo fundamentales en el desarrollo de una variedad de normas y marcos específicos en diferentes sectores.

Aseguramiento total

Junto con Nettitude, la reconocida empresa de ciberseguridad, le ayudamos a mantenerse un paso por delante de las sofisticadas ciberamenazas con servicios avanzados que proporcionan una primera línea de defensa y respuesta a todo tipo de amenazas y vulnerabilidades.

Preguntas frecuentes

¿Qué es la norma ISO 27001?

La ISO 27001 es una norma internacional de sistemas de gestión que establece los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma proporciona un marco normativo de buenas prácticas para identificar, analizar e implementar los controles necesarios para gestionar y mitigar los riesgos, reduciendo la probabilidad de que se produzca una vulneración de la Seguridad de la Información.
Cualquier organización, independientemente del tamaño y el sector, puede aprovechar los requisitos y sistemas de control de la norma ISO 27001 para implantar un SGSI eficaz que pueda certificarse de forma independiente.

La certificación acreditada ISO 27001 proporcionada por un organismo de certificación independiente y respetable demuestra su compromiso con la seguridad de la información, proporcionando una perspectiva imparcial con respecto a la solidez y efecacia de su SGSI. Esto contribuye al cumplimiento de las obligaciones contractuales y, en muchos casos, hace las veces de licencia para hacer negocios.
¿Cuáles son las ventajas de la norma ISO 27001 y por qué es tan importante?
Proteja sus datos y reputación

La certificación ISO 27001 demuestra que ha establecido un enfoque sistemático basado en los riesgos para la seguridad de la información que impulsa las mejores prácticas en torno a:
- Identificar los riesgos para la seguridad de la información y ciberseguridad
- Analizar los riesgos en función del impacto y la probabilidad
- Evaluar los riesgos y priorizar el momento del abordaje en función de factores relacionados con su negocio
- Seleccionar las opciones de tratamiento del riesgo
Demuestre el cumplimiento de la legislación, los reglamentos y los requisitos contractuales

Para obtener la certificación ISO 27001, es necesario que conozca la legislación aplicable como, por ejemplo, el Reglamento General de Protección de Datos de la UE o reglamentos como la HIPPA. Tiene un impacto positivo en la gestión del riesgo y la gestión corporativa, le ayuda a demostrar el cumplimiento y a cumplir los requisitos contractuales.

Ventaja competitiva

La certificación de LRQA ofrece a los clientes y las partes interesadas la confianza de que los riesgos de seguridad, que podrían estar relacionados con las TI, las personas, el medio ambiente y la continuidad de negocio, se aborden adecuadamente para proteger su información.

La certificación ISO 27001 es una confirmación clara de sus capacidades, demuestra que opera de acuerdo con las mejores prácticas reconocidas internacionalmente y esto le permite obtener nuevas oportunidades de negocio.
¿Cómo funcionan las auditorías de la norma ISO 27001?

Las auditorías de la norma ISO 27001 siguen el mismo planteamiento que otros sistemas de gestión basados en el Anexo SL. Puede comenzar con la formación y el gap analysis, pero el proceso formal implica una auditoría del diseño del SGSI (fase 1) y una auditoría de su funcionamiento (fase 2). Los resultados de estas auditorías los revisa técnicamente una persona cualificada e independiente de LRQA para asegurar la consistencia y la adecuación a las prácticas recomendadas establecidas por los acreditadores.

Tras la aprobación del certificado de la norma ISO 27001, comienza un ciclo de tres años de auditorías de seguimiento que conduce a una auditoría de renovación para los tres años siguientes. El seguimiento permite que LRQA y su organización gestionen los cambios y garanticen que las auditorías sean relevantes para las necesidades actuales de la industria.
¿Cuánto dura la certificación ISO 27001?

Una vez aprobada, la certificación dura tres años, siempre que se demuestre la eficacia del mantenimiento del sistema a través del programa de seguimiento.
¿Qué se incluye en el ámbito de aplicación habitual del SGSI y en una declaración de aplicabilidad?

Una declaración típica del alcance del certificado de SGSI incluye actividades relacionadas con el suministro de productos y servicios. No necesita incluir actividades internas ni procesos de SGSI. El objetivo es garantizar al lector la protección de la información proporcionada al recibir el producto o servicio.

La declaración de aplicabilidad hace referencia a la lista de controles seleccionados. No proporciona detalles de esos sistemas de control, sino una referencia rastreable a una declaración de control utilizada como base para la última auditoría de la norma ISO 27001. A veces, las organizaciones tienen una versión pública que se puede compartir que simplemente enumera los controles seleccionados del Anexo A, pero no es un requisito obligatorio.
¿Cuánto cuesta obtener la certificación ISO 27001?

El gasto se basa en el número de días de auditoría que se corresponde con el número de empleados dentro del alcance del SGSI. El número de días de auditoría se publica en la norma de acreditación ISO 27006, disponible para consulta. La implicación de una entidad de certificación acreditada como LRQA le garantiza la obtención de un plazo de auditoría basado en las prácticas recomendadas de la industria que es comparable a todos los demás organismos de certificación acreditados.

Por ejemplo, una organización con 100 miembros de personal a tiempo completo (ETC) debería prever una auditoría inicial (fase 1 + fase 2) con una duración de entre 8 y 12 días, en función de los sectores en los que opere, la complejidad de su entorno laboral, si participa en el desarrollo de programas informáticos o si necesita integrar la seguridad en el producto. El programa de seguimiento posterior sería de 3-4 días/año y la renovación de 6-8 días.
ya contamos con la norma ISO 9001. ¿Puedo integrarla con la norma ISO 27001?

Sí, ya que tanto la norma ISO 9001 como la norma ISO 27001 se basan en el modelo genérico de buenas prácticas para los sistemas de gestión (Anexo SL), los procesos de gestión fundamentales se pueden optimizar para cumplir los requisitos de ambas normas. De hecho, el diseño de un sistema para abordar ambos mejora la eficacia de la gobernanza organizativa. Por ejemplo, los objetivos empresariales como el crecimiento, a menudo requieren el desarrollo de nuevos productos en los que la seguridad se considera, por lo general, un estándar de calidad en línea con las expectativas del mercado. La integración también puede minimizar las duplicidades, y esto puede reducir el tiempo de auditoría y ofrecer una opción rentable.
¿Cuál es el proceso de certificación habitual de la norma ISO 27001?
El camino que sigue su organización para obtener la certificación de la norma ISO 27001 suele depender del nivel de madurez de su empresa en cuanto a seguridad de la información y la gestión del riesgo en general, entre otros factores. Pero el proceso habitual para obtener la certificación ISO 27001 incluye tres pasos principales.
- Auditoría etapa 1 - Revisión y planificación de documentación: Su auditor revisará el diseño y la documentación de sus sistemas de gestión; en la mayoría de los casos, esto se realiza de forma remota.
- Auditoría etapa 2 - Evaluación de la aplicación: Su auditor evaluará la aplicación y efectividad del SGC existente de acuerdo con los requisitos de la norma ISO 27001. Si no existen no conformidades, recibirá la certificación. Esta etapa se puede llevar a cabo de forma remota o in situ.
- Promueva su certificación ISO 27001: Su certificación demuestra su compromiso con las buenas prácticas reconocidas internacionalmente y la mejora continua, esto le permite conseguir nuevos negocios y satisfacer las exigencias de los clientes.
¿Qué es la norma ISO 27002:2022 y qué impacto tiene?

La publicación de la norma ISO 27002:2022 proporciona una actualización de la lista de sistemas de control incluidos en la norma ISO 27001, que se remonta a 2013. La revisión de los sistemas de control refleja los avances relacionados tanto con las amenazas como con las prácticas recomendadas actuales, y la ampliación del alcance de la norma ISO 27002 contribuye a garantizar que las medidas de gestión del riesgo sean extensas y eficaces. Las organizaciones pueden utilizar la lista exhaustiva de sistemas de control para tratar los riesgos que han identificado o descubrir posibles lagunas, y esto les permite mantenerse un paso por delante del complejo y cambiante panorama de amenazas al que se enfrentan los negocios actuales.
¿Se está desarrollando una nueva versión de la norma ISO 27001?

Está previsto que se publique una nueva versión de la norma ISO 27001 a finales de octubre de 2022. Incluirá los nuevos sistemas de control descritos en la norma ISO 27002:2022, que exigirán a las organizaciones revisar su evaluación de riesgos y determinar si deben implementarse nuevos tratamientos de riesgos.