Para cumplir con la norma ISO 27001, ¿el sistema de gestión de seguridad de la información debe implementar el proceso PDCA? ¿O ISMS puede elegir otro método de gestión?
El proceso de PDCA es el proceso de gestión de Actuar y Control del Plan. También se le llama ciclo de deming.
Tomado del libro, CyberWar, CyberTerror, CyberCrime and CyberActivism, 2ª edición
ISO / IEC 27003 (el SGSI sugerido por defecto por ISO 27001), proporciona Orientación práctica para la implementación de un sistema de gestión de la seguridad. sobre ISO / IEC 27001: 2005 mediante la introducción de una metodología integral de Aplicando el ciclo PDCA a la ciberseguridad. Esta norma describe cómo Establecer, implementar, ejecutar, observar, analizar, mantener y mejorar el programa de ciberseguridad de una organización. Aunque ISO 27001: 2013 eliminó el concepto PDCA en la revisión, todavía tiene valor como una ayuda para la toma de decisiones.
Un mejor libro es la ciberseguridad empresarial: cómo construir un programa exitoso de ciberdefensa contra amenazas avanzadas. Este libro es excelente porque puede utilizarlo para integrarlo a la realidad actual. Si debe cumplir u obtener la certificación oficial ISO 27001 y debe utilizar ISO 27002/27003 como prescripciones del SGSI, siga adelante con esos planes. Sin embargo, puede valer la pena el esfuerzo de mapear hacia este segundo libro.
En Enterprise Cybersecurity, los marcos se mencionan en el Capítulo 13, que incluye la introducción del marco de la Enterprise Enterprise Cybersecurity Architecture, una comparación con otros marcos, como el CBK de ISC2, la serie ISO 27000, NIST SP800-53R4, et al, que también menciona una cobertura adicional en el Apéndice B. Si puede obtener un programa de Administración de Seguridad de la Información alineado con la arquitectura operacional que se describe detalladamente en los Apéndices C a G, entonces creo que definitivamente superaría las capacidades de cualquier otro marco. Solo haz un mapa de ellos según sea necesario.
La mención del ciclo PDCA se ha eliminado de la norma ISO 27001 en 2013, sin embargo, la norma ISO 27001 aún especifica el requisito de mejora continua de su Sistema de gestión de seguridad de la información (SGSI). Esto significa que puede utilizar otra metodología siempre que cumpla con el requisito de mejora continua.