¿Cuál podría ser el alcance de las normas ISO 27000?

Question

¿Cuál podría ser el alcance de las normas ISO 27000?

#1 de hmallett (3 votos)
#2 de M'vy (1 votos)

2

Si una empresa desea certificar algunos de los estándares de la serie ISO 27000 (digamos ISO 27001 e ISO 27005), ¿qué podría certificarse? Quiero decir, ¿son los procesos de TI en general en la organización en su conjunto? ¿O es más probable que solo uno / varios sistemas utilizados en esa empresa estén certificados? O ¿depende de un estándar en particular (digamos que estoy interesado en los anteriores)?

Si una empresa ha elegido algún estándar en particular, ¿puede desglosarse de alguna manera para que solo una parte del estándar esté certificada?

audit business-risk iso27001 iso27000

pregunta ZygD 22.03.2015 - 23:20

fuente

2 respuestas

Lea otras preguntas en las etiquetas audit business-risk iso27001 iso27000

En teoría, ¿se puede crear una red de ToR de uso restringido con un "cifrado verificable"? ¿Cómo debo acercarme a aprenderlo? IP solo a través de HTTP GET

score 3 · Answer 1

De la gama de documentos ISO 27000, solo 27001 es un estándar certificable. Los otros en el rango son documentos de orientación y asesoramiento.

El primer paso de la implementación de la norma ISO 27001 es definir el alcance. En mi experiencia, sería inusual tener "Procesos de TI" como un alcance, generalmente se define por área de negocios. Así, por ejemplo, la parte de Operaciones del negocio (excluyendo las unidades de negocio de apoyo, como HR).

No puedes estar certificado para ser parte de ISO 27001. Es todo o nada.

score 1 · Answer 2

La serie ISO 2700X trata de certificar la gestión de seguridad de una empresa. Usted está certificado en el 27001 por cierto.

El alcance debe ser definido por la empresa. Para hacerlo, implementa los requisitos de la norma (capítulos 4 a 8) sin excepción.

El Capítulo 4 gira en torno al círculo Deming (PDCA) y define la configuración, implementación y explotación, control y revisión y mejora del SGSI.

El Capítulo 5 trata con la responsabilidad de la administración, el Capítulo 6 con auditorías internas, el Capítulo 7 con revisión y el Capítulo 8 con acciones correctivas y preventivas.

La definición del alcance se basa en los capítulos 4.2.1 a y 4.2.1 b de ISO27001. Debe observar los muchos aspectos del perímetro de la organización, el perímetro del sistema de información y el perímetro físico.

Por lo general, la norma da pautas, no hay una definición precisa de lo que debe estar en el alcance y lo que no. También puede consultar la norma ISO27002, que ofrece buenas prácticas.