Consultoría ISO 27001/UNE 71502

La informació és un dels principals actius de les organitzacions, podent arribar a posar en perill la seva continuïtat en cas de pèrdua de la confidencialitat, integritat o disponibilitat de la informació. Per aquest motiu, són necessaris uns sistemes de protecció adequats, així com una correcta gestió de la seguretat. La norma ISO 27001 (fins a ara certificable a Espanya mitjançant l'anterior UNEIX-71502) neix amb la finalitat d'establir les bases d'un SGSI (Sistema de Gestió de la Seguretat de la Informació) utilitzant com marc de referència les 11 àrees d'actuació definides en el Codi de Bones Pràctiques en Gestió de la Seguretat de la Informació identificades en la norma UNEIX-ISO/IEC 17799:2005.

  • Definició clara i transmesa a tota l'organització dels objectius i directrius de seguretat.
  • Sistematització, objectivitat i consistència al llarg del temps en les actuacions de seguretat.
  • Anàlisi i prevenció dels riscos en els Sistemes d'Informació.
  • Millora dels processos i procediments de gestió de la informació.
  • Motivació del personal quant a valoració de la informació.
  • Compliment amb la legislació vigent.
  • Imatge de qualitat enfront de clients i proveïdors.

Análisis Diferencial

Internet Security Auditors proposa una Anàlisi Diferencial UNEIX-ISO/IEC 17799:2005 com primer pas cap a la consecució d'un SGSI segons la norma internacional ISO/IEC 27001:2005. Aquest anàlisi de la situació actual de la seguretat en els sistemes d'informació cobreix aspectes de Gestió (polítiques, normatives i procediments documentats), Jurídics (lleis i contractes) i Tècnics (arquitectura, eines i tecnologies aplicades).

Els objectius de l'Anàlisi Diferencial es resumeixen en:

  • Conèixer Aplicabilitat i Diferencial: Conèixer l'aplicabilitat i el diferencial referent als estàndards UNEIX-ISO/IEC 17799:2005.
  • Valoració de les Mesures de Seguretat actuals: Obtenir una valoració independent sobre l'estat actual de les mesures de seguretat adoptades per l'organització.
  • Pla de Millora de la Seguretat: Determinar un Pla de Millora de la Seguretat adaptat i específic a l'organització.
  • Conscienciar i Responsabilitzar: Oportunitat per a conscienciar i responsabilitzar a les diferents àrees de l'empresa sobre la importància de la seguretat de la informació des d'un punt de vista de gestió.
  • Orientar la Implantació d'un SGSI: És el primer pas cap a la implantació d'un SGSI segons la norma internacional ISO/IEC 27001:2005.

Implantació d'un SGSI segons la ISO/IEC 27001:2005

Per a realitzar una implantació amb èxit d'un SGSI és necessària la total implicació i suport d'adreça en el projecte i un correcte disseny del SGSI. Aquest disseny ha d'identificar i documentar l'abast i objectius del SGSI, realitzant la política de seguretat de l'empresa, inventariant actius a incloure en l'abast, realitzant una anàlisi de riscos per a poder portar a terme, a partir de les amenaces, vulnerabilitats i impactes, una valoració i posterior gestió del risc que ens permeti seleccionar els controls necessaris per a minimitzar els riscos existents i amb això seleccionar els controls aplicables de la norma UNEIX-ISO/IEC 17799:2005.

Els objectius de la Implantació d'un SGSI es resumeixen en:

  • Definir Objectius: Definició dels objectius de seguretat.
  • Anàlisi i Gestió de Riscos: Anàlisis i Gestió de Riscos (MAGERIT, OCTAVE o CRAMM).
  • Pla Director: Creació del Pla Director de la implantació.
  • Implantació: Implantació del SGSI.