Los Sistemas de Gestión de Seguridad de la Información (SGSI) reflejados en la norma ISO UNE 27001 son un estándar internacional para la evaluación del riesgo e implementar controles para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo es proteger la información de una organización para que no caiga en manos incorrectas ni se pierda para siempre, seleccionando controles de seguridad adecuados y proporcionados, que protejan los archivos y den garantías a las partes interesadas (propietarios, clientes, proveedores, trabajadores, administración, etc.).
La implantación de esta norma internacional debería partir de una decisión estratégica de la organización. El diseño y la implantación del SGSI dependen de las necesidades y objetivos de cada organización, así como de sus requisitos de seguridad, sus procesos, su tamaño y su estructura.
El SGSI se ajusta a las necesidades y requisitos de cada organización, bajo la premisa de que una situación simple requiere de un sistema de gestión simple.
Implantación
Los pasos realizados en la implantación de una norma de SGSI se basa en la siguiente operativa:
1.- Creación SGSI
Consiste en definir la política, objetivos y procedimientos relevantes del sistema, para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados y acordes con las políticas y objetivos generales de la organización.
2.- Implantación y operación del SGSI
Este capítulo consiste en implantar y operar la política, controles, procesos y procedimientos del sistema de gestión.
3.- Supervisión y revisión del SGSI
Durante esta fase de la implantación del sistema, se evalúa y mide el rendimiento del proceso, en comparación con la política, los objetivos y la experiencia práctica del SGSI. Se informa a la dirección de los resultados para que proceda a su revisión.
4.- Mantenimiento y mejora del SGSI
Consiste en la adopción de medidas correctivas y preventivas en función de los resultados de:
- Auditorías internas
- La revisión realizada por la dirección
- La experiencia en la utilización del SGSI
- Las incidencias detectadas en la operativa
- Otras informaciones relevantes
De este modo se consigue la mejora continua del sistema de gestión de seguridad de la información.
Compatibilidad con otras normas internacionales
Esta norma internacional sigue las pautas de las Normas ISO 9001, ISO 14001 y otras, para asegurar una implantación integrada y consistente con ellas.
