07 julio 2008

Buceando en la certificacion ISO 27001

Hace unos días un compañero me reenvió un documento que, la verdad, había pasado por alto. El documento en cuestión es una traducción realizada por el ISMS Forum Spain de un documento de Fabrizio Cirilli, presidente de ISO 27001 ISMS IUG ITALY, sobre la implementación y certificación de los SGSI. Como creo que el documento sólo es accesible para socios de ISMS Forum, paso a realizar un brevísimo comentario de los aspectos más destacables, desde mi punto de vista, del documento:
  • Orígenes de la ISO 27001: Las recomendaciones de la OCDE y la BS 7799.
  • Requisitos definidos por la ISO 27001: Un estupendo esquema donde identifica las fases del ciclo PDCA con cada apartado del estándar y un claro listado de los requisitos de la norma a todos los niveles (documentos obligatorios, obligaciones de cada apartado, etc.).
  • Cambios y evolución de la BS7799-2 a la ISO 27001 (y proceso que siguieron todas las organizaciones certificadas en la norma británica para "homologar" internacionalmente sus certificados).
  • Certificación de un SGSI: Por qué certificar el SGSI y pasos a seguir para lograrlo, incluyendo las exigencias en relación a cada apartado de la certificación y una explicación de cómo se lleva a cabo una certificación.
  • Acreditación de un certificado: Por qué las empresas certificadoras deberían también "certificarse" a su vez, y en qué normas se basa dicha certificación (como listado de referencia, y sin pararme demasiado a analizar las implicaciones de cada una de ellas, podemos decir que en el caso concreto de los SGSIs son de aplicación en mayor o menor medida las normas ISO17021, ISO 19011, EA7/03, ISO 27006 y EN 45012).

Y en resumen esos son los aspectos más destacables del documento. Una lectura más que recomendable para todo aquél que quiera adentrarse un poco más en los vericuetos de las certificaciones, y sobre todo una buena guía de profundización para todos aquellos que quieran certificar un SGSI.