ISO 27001: Sistema de Gestión de Seguridad de la Información
La organización mantiene plenamente identificados y documentados su contexto interno y externo, las necesidades y expectativas de todas las partes interesadas, el alcance preciso del SGSI y la interacción de los procesos que lo componen. Esta comprensión se revisa de forma continua y se refleja en políticas, objetivos, controles y recursos, garantizando que el SGSI permanezca siempre alineado con la realidad operativa, estratégica y regulatoria de la organización.
La organización comprende y mantiene actualizado el contexto interno y externo que afecta la eficacia del Sistema de Gestión de Seguridad de la Información (SGSI), asegurando que todas las variables relevantes estén consideradas para el logro de sus objetivos.
Se identifican y analizan de manera continua los factores internos y externos que impactan el SGSI.
Se evalúan riesgos y oportunidades relacionados al contexto organizacional para garantizar una gestión efectiva.
Se integran los resultados del análisis del contexto en la planificación y mejora del SGSI.
Se documentan y actualizan periódicamente los análisis para reflejar cambios en el entorno.
La organización identifica y mantiene actualizadas las necesidades, expectativas y requisitos de las partes interesadas que afectan la eficacia del Sistema de Gestión de Seguridad de la Información (SGSI), asegurando que se incorporen en su planificación y operación.
Se identifican de forma continua las partes interesadas relevantes y sus requisitos aplicables al SGSI.
Se analizan las necesidades y expectativas para garantizar su cumplimiento dentro del sistema.
Se integran estos requisitos en los procesos y controles del SGSI.
Se documentan y revisan periódicamente las partes interesadas y sus expectativas para adaptarse a cambios.
La organización ha definido y documentado claramente el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo los límites, procesos, activos, ubicaciones y exclusiones, asegurando que el SGSI cubra todas las áreas relevantes y que cualquier exclusión esté debidamente justificada.
Se identifican y delimitan los procesos de negocio, sistemas y activos críticos incluidos en el SGSI.
Se determinan las ubicaciones físicas, entornos TIC y áreas remotas donde aplica el SGSI.
Se establecen las interfaces y dependencias con servicios externos y terceros, definiendo los límites y controles aplicables.
Se documentan y justifican las exclusiones del alcance basadas en análisis de riesgos.
La organización establece, implementa, mantiene y mejora continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a los requisitos de la norma ISO 27001, asegurando que esté alineado con su contexto y objetivos estratégicos.
Se ha diseñado un SGSI integrado que cubre todos los procesos y controles necesarios para gestionar la seguridad de la información.
Se implementan políticas, procedimientos, procesos y controles definidos para proteger la confidencialidad, integridad y disponibilidad de la información.
Se realizan revisiones y auditorías periódicas para evaluar la eficacia del SGSI y promover la mejora continua.
Se asignan responsabilidades claras para la gestión y mantenimiento del SGSI en todos los niveles organizacionales.
La comprensión del contexto organizacional es fundamental para establecer un SGSI efectivo. La organización garantiza que todos los elementos del contexto interno y externo, las necesidades de las partes interesadas y el alcance del sistema estén claramente definidos y se mantengan actualizados para adaptarse a los cambios del entorno.
Mediante el análisis continuo del contexto, identificación sistemática de partes interesadas, definición clara del alcance del SGSI y establecimiento de un sistema de gestión integral alineado con los objetivos estratégicos.
La Dirección es responsable de definir y mantener el contexto organizacional, con el apoyo del Responsable del SGSI y los responsables de cada área funcional.