Digamos que una pequeña empresa acaba de obtener una acreditación ISO 27001. ¿Qué sucede si durante una de las auditorías se descubre que la compañía no siguió el SGSI? ¿Hay un cierto proceso de advertencia que la empresa tiene que pasar? Básicamente, quiero saber si hay casos en los que se retrae una acreditación ISO 27001 y cómo.
No pude encontrar nada sobre este ISO 97001 en particular en el sitio web de ISO ni en ningún otro sitio relacionado. Pero vi que colocó una etiqueta ISO 27000 y que mencionó SGSI, por lo que supongo que está hablando de ISO 27001, que es el Sistema de gestión de seguridad de la información.
Normalmente, con toda la certificación ISO, una vez que esté acreditado el certificado, deberán realizarse auditorías de vigilancia programadas. Si tiene una deficiencia importante, el auditor le dará una cierta cantidad de tiempo para tomar acciones correctivas. Si, después de un tiempo determinado, no ha implementado con éxito esas acciones correctivas o no ha ajustado sus procesos, se podrá emitir una revocación de certificado.
La razón principal por la que implementa la ISO 27001 es para cubrir los riesgos del negocio. Si ve que tiene la ISO 27001 pero que en realidad no se molesta en usar los controles definidos en el marco, excepto cuando hay una auditoría, entonces tiene un grave problema de mentalidad de seguridad dentro de su empresa. También tenga en cuenta que si hay un incidente grave y se muestra que los controles definidos en el marco no se siguieron, ya no está cubierto por el marco / certificado.
Bueno, no todas las no conformidades deben ser tratadas de la misma manera y por eso creo que el estándar de seguridad de la información es subjetivo.
Hablando de los escenarios que pueden aplicarse (no necesariamente limitados) aquí:
HTH,
Lea otras preguntas en las etiquetas certificate-revocation iso27000