PROCESO DE CERTIFICACION ISO 27001


La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.
Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

IMPLEMENTACION DEL SGSI


Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.

ISO 27001 EXIGE QUE EL SGSI CONTEMPLE LOS SIGUIENTES PUNTOS:
  • Implicación de la Dirección.
  • Alcance del SGSI y política de seguridad.
  • Inventario de todos los activos de información.
  • Metodología de evaluación del riesgo.
  • Identificación de amenazas, vulnerabilidades e impactos.
  • Análisis y evaluación de riesgos.
  • Selección de controles para el tratamiento de riesgos.
  • Aprobación por parte de la dirección del riesgo residual.
  • Declaración de aplicabilidad.
  • Plan de tratamiento de riesgos.
  • Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
  • Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
  • Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
  • Monitorización constante y registro de todas las incidencias.
  • Realización de auditorías internas.
  • Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
  • Mejora continua del SGSI.

LA DOCUMENTACIÓN DEL SGSI DEBERÁ INCLUIR:

  • Política y objetivos de seguridad.
  • Alcance del SGSI.
  • Procedimientos y controles que apoyan el SGSI.
  • Descripción de la metodología de evaluación del riesgo.
  • Informe resultante de la evaluación del riesgo.
  • Plan de tratamiento de riesgos.
  • Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
  • Registros.
  • Declaración de aplicabilidad (SOA -Statement of Applicability-).
  • Procedimiento de gestión de toda la documentación del SGSI

PROCESO REPRESNETADO GRAFICAMENTE

AUDITORÍA Y CERTIFICACIÓN

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
  • Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
  • Respuesta en forma de oferta por parte de la entidad certificadora.
  • Compromiso.
  • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
  • Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
  • Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
  • Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
  • Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
  • Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita।


LA ENTIDAD DE CERTIFICACIÓN

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.

Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación) ; para otros países, puede consultarse esta lista.

La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento.

Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation).





REGISTRO INTERNACIONAL DE CERTIFICADOS REGISTRO INTERNACIONAL DE CERTIFICADOS SGSI

Este Registro Internacional de ISMS certificados acreditados es una lista de los certificados que han sido otorgadas a organizaciones que han pasado por un proceso de certificación acreditada de acuerdo con la norma SGSI ISO / IEC 27001:2005.

Este Registro se ha producido en cooperación con una red internacional de organismos de certificación que han llevado a cabo el SGSI ISO / IEC 27001:2005 certificación y otras partes interesadas. El Registro es administrado y mantenido por el SGSI Grupo Internacional de Usuarios (IUG). Las entradas en este registro han sido suministrados por los Organismos de Certificación y / o sus clientes. Este registro se actualizará periódicamente en colaboración con los Organismos de Certificación.

Este sitio es patrocinado por el Registro de varias organizaciones, incluyendo los organismos de certificación siguientes personas y organizaciones comerciales

UV AUSTRIA HELLAS www.tuvaustriahellas.gr

HISPI (The Holistic Information Security Practioner Institute) www.hispi.org

IT Governance www.itgovernance.co.uk

LRQA www.lrqa.co.uk

SGS www.sgs.com

TCIC www.tcicgroup.com

AEXIS www.aexis.de

Bureau Veritas Certification www.bureauveritas.com

Certification Europe www.certificationeurope.com

DNV www.dnv.com

eFortress, Inc. www.eFortresses.com





NUMERO DE CERTIFICACIONES POR PAIS

Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates

http://www।iso27001certificates.com/



Japan

3632

Philippines

15

Macau

3

India

492

Pakistan

14

Portugal

3

China

483

Vietnam

14

Argentina

2

UK

453

Iceland

13

Belgium

2

Taiwan

371

Saudi Arabia

13

Bosnia Herzegovina

2

Germany

139

Netherlands

12

Cyprus

2

Korea

106

Singapore

12

Isle of Man

2

USA

96

Indonesia

11

Kazakhstan

2

Czech Republic

86

Bulgaria

10

Morocco

2

Hungary

71

Kuwait

10

Ukraine

2

Italy

60

Norway

10

Armenia

1

Poland

56

Russian Federation

10

Bangladesh

1

Spain

54

Sweden

9

Belarus

1

Malaysia

40

Colombia

8

Denmark

1

Ireland

37

Bahrain

7

Dominican Republic

1

Thailand

36

Iran

7

Jersey

1

Austria

35

Switzerland

7

Kyrgyzstan

1

Hong Kong

32

Canada

6

Lebanon

1

Greece

30

Croatia

6

Luxembourg

1

Romania

30

South Africa

5

Macedonia

1

Australia

29

Sri Lanka

5

Mauritius

1

Mexico

24

Lithuania

4

Moldova

1

Brazil

23

Oman

4

New Zealand

1

Slovakia

21

Peru

4

Sudan

1

Turkey

21

Qatar

4

Uruguay

1

UAE

20

Chile

3

Yemen

1

France

19

Egypt

3


Slovenia

17

Gibraltar

3

Total

6826





Suscribirse a: Entradas (Atom)