sábado, 5 de octubre de 2013

Seguridad de la Información: la nueva ISO 27001:2013 se publica en octubre

Madrid, 29 de agosto de 2013. Entrevista con Edward Humphreys, Coordinador del grupo de trabajo responsable de la elaboración y el mantenimiento de la norma ISO 27001, para averiguar cómo puede afectar la revisión a las empresas.
¿Cuáles son los principales beneficios de la nueva edición?

Hemos actualizado la norma teniendo en cuenta las experiencias de los usuarios que han implementado o se han certificado en ISO 27001:2005. La idea es proporcionar un enfoque racionalizado más flexible, que debería conducir a una gestión más eficaz del riesgo.


También hemos hecho una serie de mejoras en los controles de seguridad ,enumerados en el anexo A para asegurar que la norma sigue siendo actual y es capaz de hacer frente a los riesgos de hoy, como el robo de identidad, los riesgos relacionados con los dispositivos móviles y otras vulnerabilidades on-line.

Por último, la nueva norma ISO 27001:2013 se ha modificado para adaptarse a la nueva estructura de alto nivel utilizada entodas las normas de sistemas de gestión, por lo que su integración con otros sistemas de gestión es más fácil.

¿Cuáles son los beneficios de la modificación de la nueva norma ISO 27001:2013 para adaptarse a la nueva estructura de alto nivel de las normas de sistemas de gestión?

La alineación de la norma ISO 27001:2013 a la nueva estructura, ayudará a las organizaciones que desean implementar más de un sistema de gestión a la vez. La similitud en la estructura entre las normas ahorrará a las organizaciones en tiempo y dinero, ya que pueden adoptar políticas y procedimientos integrados.


Por ejemplo, una organización puede querer integrar su sistema de gestión de seguridad de la información (ISO 27001:2013) con otros sistemas de gestión, tales como la gestión de continuidad del negocio (ISO 22301), Gestión de Servicios TI (ISO 20000-1) o la gestión de la calidad (ISO 9001).
¿Cuál es el siguiente paso en el proceso de revisión?

La revisión de la edición de 2005 se encuentra ahora en la etapa de FDIS (Borrador Final de Norma Internacional). Se completará a principios de septiembre después de cualquier modificación tipográfica hecha y estará lista para su  lanzamiento en octubre. En este punto, la nueva edición de la norma ISO 27001:2013 estará disponible para la compra y la versión de 2005 será retirada.

Estoy certificado con la norma ISO 27001:2005. ¿Qué significará esta revisión para mí?

Las organizaciones certificadas con la edición 2005 de la norma tendrán que actualizar su sistema de gestión de seguridad de la información para cumplir con los requisitos de la nueva versión de la norma. El período de transición para la actualización aún no se ha decidido, pero es probable que sea de dos años desde que se publique la nueva edición.

¿Cuánto esfuerzo se necesita para pasar de la versión antigua a la nueva versión?

La actualización a la nueva edición de la norma ISO 27001:2013 no debería resultar especialmente problemática. El período de transición ayuda, ya que significa el esfuerzo requerido puede ser parte de un programa de trabajo organizado e integrado en las actividades de mejora continua y auditorías de seguimiento planificadas.
Fuente: iso.org

No hay comentarios: