Manteniendo el cuidado y protección de la calidad

La información es el activo estratégico más importante que una organización tiene a su disposición. Por consiguiente es crítico que cualquier sistema que contenga esa información sea protegido contra la amenaza de pérdida, robo o destrucción, una manera de conseguir esto es a través del uso de un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO/IEC 27001:2005 (anteriormente BS 7799) es una norma internacional que proporciona especificaciones y orientación para realizar un mantenimiento apropiado de un SGSI. Ofrece un enfoque de proceso Planificar-Hacer-Verificar-Actuar (PHVA), el cual refleja los principios de la OECD (Organization for Economic Cooperation and Development) directrices que rigen la seguridad de los sistemas y redes de información.
ISO/IEC 27001:2005 consta de dos partes bajo un título general Tecnología de la Información - Técnicas de Seguridad - Sistema de Gestión de Seguridad de la Información:

• ISO/IEC 17799:2005 (Parte 1) es un "código de práctica" que describe las mejores prácticas para un Sistema de Gestión de Seguridad de la Información dentro del alcance de ISO/IEC 27001 Parte 2.
• ISO/IEC 27001:2005 (Parte 2) comprende un número de especificaciones para los sistemas de Gestión de Seguridad de la Información. Proporciona los medios para medir, hacer seguimiento y controlar la gestión de seguridad con un abordaje de "arriba hacia abajo". Abarca gobierno, control de ingreso, evaluación de riesgo, clasificación, conformidad, planificación de continuidad y más.

ISO/IEC 27001:2005 especifica el enfoque en los siguientes temas, empleando la metodología PHVA (Planificar, Hacer, Verificar, Actuar):

1. Principios y Gestión de Seguridad: Los componentes esenciales de la gestión de riesgo, política de seguridad de la información, procedimientos, normas, directrices, líneas de base, clasificación, educación y organización de seguridad sirven como fundamento de la seguridad de la información. Los controles de seguridad están implementados y mantenidos para tratar los tres principios interdependientes que están presentes en todos los programas: Confidencialidad, Integridad y Disponibilidad, conocidos también como la "tríada CID".

2. Responsabilidades de Gestión de Seguridad: Incluye los recursos financieros y representación estratégica necesaria para participar en un programa de seguridad. Las responsabilidades asignadas empiezan a encaminar al SGSI y lo mantienen en crecimiento y evolucionando según los cambios en el medioambiente. El apoyo de la Dirección es uno de los factores más importantes para el éxito del programa de seguridad.

3. Enfoque "de arriba hacia abajo": Este enfoque significa que la alta dirección proporciona soporte y conducción, la cual pasa en cascada a través de los niveles medios y finalmente a todos los miembros del personal.

4. Gestión de Riesgo: La gestión de riesgo es el proceso de identificación, análisis, cálculo, evaluación y reducción de riesgo hasta un nivel aceptable, además de la implementación de los mecanismos correctos de defensa para mantener un nivel de riesgo aceptable.

5. Toma de Conciencia de Seguridad: Para conseguir los resultados deseados para el programa de seguridad, una organización debe comunicar los "qué, cómo y porqué" de seguridad a sus empleados. Esta toma de conciencia debería ser exhaustiva, a medida y de toda la organización.

6. Continuidad de Negocio y Gestión de Siniestros: Asegura continuidad, recuperación y restauración del negocio en caso de desastre. En el caso de una emergencia, podría suponer traslado de sistemas críticos a otro ambiente mientras se reparan las instalaciones originales.

7. Cumplimiento Legal: incluye cumplimiento de varias leyes (reguladoras) civiles, criminales y administrativas tales como leyes de propiedad intelectual, secretos comerciales, derechos de propiedad intelectual, marcas, patentes y protección de información.

Certificación ISO/IEC 27001:2005
Intertek está acreditada por RvA (Consejo Holandés de Acreditación) para proporcionar servicios de certificación y registro para ISO/IEC 27001:2005 (anteriormente BS 7799). Una organización que busca certificación formal de este esquema debe ser evaluada por un organismo de tercera parte tal como Intertek. Usaremos nuestro conocimiento,  experiencia, pericia y especialización de la industria para ayudarlo a conseguir su certificación de manera rentable y sencilla.