Qué es la declaración de Aplicabilidad.
La Declaración de Aplicabilidad en ISO/IEC 27001 es un documento mandatorio que solicitará un auditor ante una certificación de la Norma ISO 27001. No sólo se trata de una simple redacción, sino de un análisis que establece el Sistema de Gestión de la Seguridad de la Información.
Dicho de otra forma, si la intensión de tu Organización es la Certificación de la Norma ISO 27001, este es un documento obligatorio.
La Declaración de Aplicabilidad de la Norma ISO 27001 establece en el capítulo sobre términos y definiciones que “es una declaración documentada que describe los objetivos de seguridad, así como las medidas apropiadas y aplicables para el SGSI de una organización”.
Objetivos de este servicio
Definir en conjunto con el comité de Gestión de la Seguridad de la Información, los objetivos de seguridad aplicables a tu organización.
Uno de los objetivos más relevantes es poder identificar los activos de la información y las medidas ante la pérdida por una eventualidad de hardware, software, error humano o un ciberataque.
Como sabes, los activos de la información son los elementos fundamentales de cualquier Organización, ejemplo: Personas, Infraestructura, información física o Digital, así mismo servicios internos o externos que en caso de una afectación parcial o total puede poner en Riesgo la operación de la Organización.
Como consecuencia de la consultoría enunciaremos los controles de la Norma que hacen sentido a tu organización y son aplicables.
Este servicio se basa en la Norma ISO 27001 y Controles de la Norma relacionados con la Gestión de la Seguridad de la Información.
La Declaración de Aplicabilidad es mandatorio en caso de requerir la Certificación ISO 27001 y es parte del Sistema de Gestión de la Información SGSI
BENEFICIOS DEL SERVICIO
Cumplimiento. Este servicio es mandatorio si la intensión de tu organización es la certificación de la Norma ISO 27001. Un auditor lo solicitará al inicio de la revisión.
Uno de los principales beneficios de realizarlo con nosotros es la reducción de costos y por otro lado, identificar aquellos controles que hacen sentido a tu organización.
Otro de los beneficios es que teniendo identificados las vulnerabilidades y riesgos de los activos de información es determinar si los riesgos son lo suficientemente impactantes a la organización o son tan costosos que se prefiere “vivir con ellos”.
ACTIVIDADES CLAVES DEL SERVICIO
Los elementos principales que elaboráramos en conjunto con tu equipo son:
- Identificar los activos de la Información
- Los objetivos de seguridad y las medidas de seguridad aplicables a tu organización, y las razones de seleccionarlas.
- Los objetivos de seguridad y medidas de seguridad implementadas actualmente.
- Las tecnologías involucradas en cada control de la Norma relacionados.
- La exclusión de los objetivos de seguridad y las medidas de seguridad especificadas en el Anexo A y la justificación de su exclusión
- o de este servicio es determinar si las tecnologías, políticas y procesos permiten recuperar una copia de seguridad fiable ante una contingencia.
- Cumplimiento de prácticas como 3-2-1
Entregables
- Documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad).
- Se enunciarán las tecnologías y procesos que cumplen con la Norma ISO 27001
- Recomendaciones alineadas a la norma y las mejores prácticas de la industria
Tiempo de la Consultoría
Mínimo: 50 Horas y cambia de acuerdo al tamaño de cada organización
