NCH-ISO 27001

Descripción

¿Qué es la NCH ISO 27001?

SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN

La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones.

La norma NCH ISO27001 para los Sistemas de Gestión de Seguridad de la Información o SGSI hace posible que las organizaciones lleven a cabo una evaluación del riesgo y adopte los controles imprescindibles para lograr mitigarlos e incluso eliminarlos.

Con la implementación de la NCH-ISO27001, las organizaciones consiguen mejorar la imagen dentro de un mercado cada vez más competitivo.

Para llevar a cabo una adecuada Gestión de la Seguridad de la Información en las empresas, se necesita del uso de buenas prácticas o controles que están establecidos por la norma NCH-ISO 27002.

Norma NCH-ISO 27001

Estructura de la norma NCH-ISO 27001

Objeto y campo de aplicación:En el primer apartado de la norma NCH-ISO 27001, encontramos unas directrices sobre cómo hacer uso del estándar además de dar indicaciones sobre la finalidad y el modo en el que hay que aplicar dicha norma.
Referencias NormativasEn este apartado se recomienda consultar documentos necesarios para aplicar adecuadamente la NCH ISO 27001
Términos y definiciones
En el que se define la terminología a emplear en el estándar.
Contexto de la OrganizaciónSe trata del primer requisito de la NCH-ISO27001 en el que quedan establecidas unas orientaciones acerca del contexto de la organización, por ejemplo conocer las necesidades y expectativas además del alcance que tiene el Sistema de Gestión de Seguridad de la Información o SGSI
LiderazgoEn el apartado queda reflejada la importancia de que el personal de la organización esté involucrado en el proceso de implementación de la NCH ISO 27001 incluyendo la alta dirección. Por lo que se precisa de la elaboración de una política de seguridad que esté pública y accesible para cualquiera de los trabajadores y en la que quedarán establecidas los roles, responsabilidades y autoridad de la misma.
PlanificaciónEn este apartado queda evidenciada la importancia que tiene el establecimiento de riesgos y oportunidades cuando se va a realizar la planificación de un Sistema de Gestión de la Información y la necesidad de determinar objetivos de Seguridad de la Información y la manera de conseguirlos.
SoporteEn el presente apartado de la NCH-ISO 27001, se indica que para que el SGSI funcione correctamente, la organización tiene que disponer de recursos, competencia, información documentada y comunicación.
OperaciónEn la que se establece que es imprescindible realizar una planificación, implementación y control de los procesos ejecutados por la organización. Para lo que será necesario llevar a cabo una valoración de los riesgos y sobre todo adoptar las medidas para su tratamiento.
Evaluación del desempeñoDurante este apartado, se determina el modo de proceder para realizar el seguimiento, medición, análisis y evaluación, además de la auditoria interna y revisión que debe desarrollar la alta dirección para garantizar que el SGSI funciona coherentemente a lo que se ha planificado.
MejoraEn el último apartado de la NCH ISO 27001 se establecen las obligaciones de aquellas organizaciones que identifiquen una No Conformidad y la necesidad de mejora continua del Sistema de Gestión de Seguridad de la Información.

Novedades de la NCH-ISO 27001:2013

Con la publicación de la última versión en el año 2013, se adoptaron cambios en la NCH ISO 27001 con respecto a la versión anterior del año 2005. La nueva NCH-ISO 27001:2013 tiene una estructura de alto nivel según establece el Anexo SL. Entre los cambios destacamos:

No se muestra el apartado “Enfoque a procesos” y lo mismo ocurre con la metodología fundamentada en el ciclo PHVA.
Se suprime el carácter obligatorio de ciertos documentos, manteniendo como obligatorio la declaración de aplicabilidad.
Se han examinado los requisitos y controles.
Se fomenta el enfoque basado en el análisis del riesgo durante la fase de planificación y operación.

Software NCH ISO 27001

LA PLATAFORMA ISOTOOLS PARA LA AUTOMATIZACIÓN DE LA NCH ISO 27001

La ISO 27001 para los Sistemas de Gestión Seguridad de la Información es muy simple realizar la implementación, automatización y mantenimiento con la Plataforma Tecnológica ISOTools.

A través de este software se consigue dar cumplimiento a los requisitos de la NCH ISO 27001, así como se da cumplimiento de manera adicional a las buenas prácticas o controles definidos en ISO 27002.
ISOTools también logra la aplicación de requerimientos de otras normativas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile.

Ventajas

Razones para automatizar la ISO 27001 con ISOTools

Garantiza la confidencialidad, integridad y disponibilidad de los datos.
Permite conocer los riesgos de seguridad de la organización para poder dirigir inversiones a esos riesgos.
Logra un equilibrio entre la seguridad física, técnica, procedimental y de personal.
Permite establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) integrable con otros sistemas de gestión previos o futuros.
Mejora la eficacia y eficiencia en la gestión, reduciendo costes.
Permite el ahorro de recursos dedicados a la implementación y mantenimiento del Sistema de Gestión ISO 27001.
Simplifica y reduce la documentación y registros, eliminando la burocracia.
Mejora la percepción y la implicación del personal en el sistema de gestión.
Permite la gestión y distribución práctica de tareas y responsabilidades con sistema de avisos y alarmas escalable.
Permite la organización y gestión de toda la documentación de la empresa, reduciendo riesgos y evitando multas y sanciones.
Utiliza potentes herramientas para planificación y seguimiento de actividades.
Permite la automatización de matrices de evaluación, lo que simplifica el diseño del sistema.
Utiliza herramientas visuales para el seguimiento de los controles de seguridad.
Permite poner el foco en esfuerzos e inversiones ante los riesgos.

Software NCH ISO 27001

La ISO 27001 para los Sistemas de Gestión Seguridad de la Información es muy simple realizar la implementación, automatización y mantenimiento con la Plataforma Tecnológica ISOTools.
A través de este software se consigue dar cumplimiento a los requisitos de la NCH ISO 27001, así como se da cumplimiento de manera adicional a las buenas prácticas o controles definidos en ISO 27002.
ISOTools también logra la aplicación de requerimientos de otras normativas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile.

LA PLATAFORMA ISOTOOLS PARA LA AUTOMATIZACIÓN DE LA NCH ISO 27001

La ISO 27001 para los Sistemas de Gestión Seguridad de la Información es muy simple realizar la implementación, automatización y mantenimiento con la Plataforma Tecnológica ISOTools.

Funcionalidades

¿Qué aplicaciones posee la automatización del Sistema de Gestión de la Seguridad de la Información ISO 27001?

Evaluación de Seguridad de la Información

Evaluación de riesgos de los activos de la organización utilizando la metodología designada por la empresa.

Controles 27002

Autoevaluación de los controles mencionados en la norma ISO 27002, para ver en qué estado se encuentra la empresa.

Salvaguardas

Establecimiento de salvaguarda para realizar el Plan de tratamiento de riesgos, estableciendo fechas de puesta en marcha de las mismas y responsabilidades.

Métricas e Indicadores

Seguimiento y medición que permite ver el camino por el que se alcanza a comprobar el estado en el que se encuentra nuestro sistema de gestión.

Cuadro de Mando

Gracias al tratamiento de la información, seremos capaces de poder analizar los datos desde distintos puntos de vista, pudiendo relacionar los distintos indicadores entre sí, mejorando la toma de decisiones.

Objetivos y Metas

Establecimiento de programas de Gestión Laboral.

Gestor documental

Revisión, aprobación, control de cambios y de versiones. Gestión de documentos en vigor / obsoletos. Distribución de documentos. Gestión de registros.

Recursos Humanos

Aseguramiento de las competencias. Definición de puestos y roles. Gestión de currículums. Definición de las responsabilidades y autoridades dentro de la organización.