Al implementar ISO27000 (ISO27001 & 27002), me pregunto dónde puedo descargar y revisar el estándar. Deseo comenzar a implementarlo, pero estoy un poco perplejo sobre dónde empezar.
Algunos sitios ofrecen vender algunos PDF que supuestamente incluyen las mejores prácticas para implementar el estándar, pero en este momento necesito revisar el estándar y crear mis propias opiniones sobre cómo comenzar a implementarlo.
La ruta oficial para la documentación es a través de ISO: IEC , y los papeles cuestan 134 francos suizos cada uno.
Varios organismos tienen documentos de orientación, por ejemplo, ISACA proporciona una variedad de material ISO27001 sobre temas como la implementación de SGSI, alineación de Cobit, ITIL y ISO27001 - pero tienes que ser miembro de ISACA (si es necesario, pregúntame cómo :-)
Como alternativa, puede contratar a consultores para que atiendan sus necesidades y comprendan lo que podría necesitar hacer. Como ejemplo, he ayudado a muchas organizaciones grandes a alinear su función de seguridad con ISO27001: 2005, no para obtener la acreditación, ya que a menudo puede ser una exageración costosa, pero para obtener las ventajas que le brinda un marco de gobierno y seguridad basado en ISO27001. p>
Sin embargo, puede obtener mucha buena información de algunas fuentes gratuitas:
27000 en sí mismo es gratis, pero me temo que las otras normas en la familia cuestan dinero.
Se pueden comprar como un libro impreso o un libro electrónico directamente de la ISO y de IEC, en enlace o desde enlace
También suele estar disponible en el organismo de estándares de su país. Para Noruega, es Standards Norway, a quien puede encontrar en enlace
Es posible que desee ver lo siguiente:
Según mi conocimiento, la mayoría de los documentos de la norma ISO no se pueden obtener libremente y deben comprarse en la tienda ISO ( enlace ) o del miembro de ISO del propio país, por ejemplo, DIN en Alemania. (Para un truco para ahorrar dinero, vea mi comentario a continuación).
Teniendo en cuenta la enorme cantidad de personal involucrado en el cumplimiento de la norma ISO27001, especialmente si va a obtener la certificación, tiendo a recomendar seguir algún tipo de capacitación.
Parte de la capacitación ofrecida (pero no toda) le proporcionará su propia copia de las normas como parte de la tarifa de capacitación (es decir, usted también la pagará, pero no necesita comunicarse con la autoridad de normas local). usted mismo).
Por supuesto, esto será más costoso que simplemente comprar el estándar, y quizás prefiera al menos leerlo por su cuenta antes de decidir si realmente quiere implementarlo, pero realmente creo que si lo desea implementarlo, necesitarás ayuda para hacerlo.
Dicho esto, depende principalmente del objetivo de su empresa: si va a obtener la certificación completa, pídale a la empresa que lo envíe a una capacitación de implementador líder ISO27001 de inmediato (por cierto, una de las cláusulas de los mandatos estándar que Su administración debe comprometer recursos para la implementación y el mantenimiento de su SGSI, lo que significa invertir en usted, valdrá la pena.
Si solo estás considerando implementar el estándar como una herramienta para mejorar tu seguridad, o simplemente sientes curiosidad por él, entonces sí, quizás solo con leerlo sea un buen comienzo.
Parte localizada en el tiempo de la respuesta:
Por supuesto, teniendo en cuenta cuando lo preguntaste, es probable que hayas seguido la la respuesta de Rory y la hayas comprado, si es así. , Tengo curiosidad por saber cuáles han sido sus próximos pasos. En particular, su propia experiencia comenzando con ISO27001 podría ser invaluable para otros que se encuentran con esta pregunta; ¿Qué hiciste para comenzar, qué recomendarías y qué no? Recuerde, está bien responder su propia pregunta .
Siga este enlace para obtener una copia legal gratuita de ISO27000: 2012 fuera del sitio web de ISO enlace
Lea otras preguntas en las etiquetas iso27000