Norma Nch-ISO 27001

¿Qué es la NCH ISO 27001?

SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN

La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones.

La norma NCH ISO27001 para los Sistemas de Gestión de Seguridad de la Información o SGSI hace posible que las organizaciones lleven a cabo una evaluación del riesgo y adopte los controles imprescindibles para lograr mitigarlos e incluso eliminarlos.

Con la implementación de la NCH-ISO27001, las organizaciones consiguen mejorar la imagen dentro de un mercado cada vez más competitivo.

Para llevar a cabo una adecuada Gestión de la Seguridad de la Información en las empresas, se necesita del uso de buenas prácticas o controles que están establecidos por la norma NCH-ISO 27002.

Norma NCH-ISO 27001

Estructura de la norma NCH-ISO 27001

1. Objeto y campo de aplicación:
   En el primer apartado de la norma NCH-ISO 27001, encontramos unas directrices sobre cómo hacer uso del estándar además de dar indicaciones sobre la finalidad y el modo en el que hay que aplicar dicha norma.
2. Referencias Normativas
   En este apartado se recomienda consultar documentos necesarios para aplicar adecuadamente la NCH ISO 27001
3. Términos y definiciones
   En el que se define la terminología a emplear en el estándar.
4. Contexto de la Organización
   Se trata del primer requisito de la NCH-ISO27001 en el que quedan establecidas unas orientaciones acerca del contexto de la organización, por ejemplo conocer las necesidades y expectativas además del alcance que tiene el Sistema de Gestión de Seguridad de la Información o SGSI
5. Liderazgo
   En el apartado queda reflejada la importancia de que el personal de la organización esté involucrado en el proceso de implementación de la NCH ISO 27001 incluyendo la alta dirección. Por lo que se precisa de la elaboración de una política de seguridad que esté pública y accesible para cualquiera de los trabajadores y en la que quedarán establecidas los roles, responsabilidades y autoridad de la misma.
6. Planificación
   En este apartado queda evidenciada la importancia que tiene el establecimiento de riesgos y oportunidades cuando se va a realizar la planificación de un Sistema de Gestión de la Información y la necesidad de determinar objetivos de Seguridad de la Información y la manera de conseguirlos.
7. Soporte
   En el presente apartado de la NCH-ISO 27001, se indica que para que el SGSI funcione correctamente, la organización tiene que disponer de recursos, competencia, información documentada y comunicación.
8. Operación
   En la que se establece que es imprescindible realizar una planificación, implementación y control de los procesos ejecutados por la organización. Para lo que será necesario llevar a cabo una valoración de los riesgos y sobre todo adoptar las medidas para su tratamiento.
9. Evaluación del desempeño
   Durante este apartado, se determina el modo de proceder para realizar el seguimiento, medición, análisis y evaluación, además de la auditoria interna y revisión que debe desarrollar la alta dirección para garantizar que el SGSI funciona coherentemente a lo que se ha planificado.
10. Mejora
    En el último apartado de la NCH ISO 27001 se establecen las obligaciones de aquellas organizaciones que identifiquen una No Conformidad y la necesidad de mejora continua del Sistema de Gestión de Seguridad de la Información.

Novedades de la NCH-ISO 27001:2013

Con la publicación de la última versión en el año 2013, se adoptaron cambios en la NCH ISO 27001 con respecto a la versión anterior del año 2005. La nueva NCH-ISO 27001:2013 tiene una estructura de alto nivel según establece el Anexo SL. Entre los cambios destacamos:

• No se muestra el apartado “Enfoque a procesos” y lo mismo ocurre con la metodología fundamentada en el ciclo PHVA.
• Se suprime el carácter obligatorio de ciertos documentos, manteniendo como obligatorio la declaración de aplicabilidad.
• Se han examinado los requisitos y controles.
• Se fomenta el enfoque basado en el análisis del riesgo durante la fase de planificación y operación.

.