|
Palabras de CISO |
NIVEL
TÉCNICO
|
|
 |
Norma ISO/IEC 27001:2005 versus Norma ISO/IEC 9001:2000
Por
Domingo F. Donadello
Coordinador
de Certificación de Sistemas IT – IRAM, Argentina.
Secretario
Académico Departamento de Ingeniería e Investigaciones
Tecnológicas de la Universidad Nacional de La Matanza. |
La Norma
ISO 27001
establece un Modelo para
implementar, operar, monitorear,
revisar, mantener y mejorar un ISMS
(Information Security Management
System).
La Norma
ISO
9001
define los requisitos para un Sistema de Gestión de la Calidad.
Dado que
la 27001 toma como modelo la 9001, ambas normas poseen 8 capítulos,
nombrados de la misma forma, del 1ero (Objeto y campo de aplicación)
hasta el 8vo (Medición, Análisis y Mejora).
Ambas se
basan en la Orientación a Procesos:
•
La ISO/IEC
27001
adopta una orientación a procesos para el ISMS.
Enfatiza la importancia de:
•
Entender los requerimientos organizacionales para un
ISMS.
•
Implementar y operar controles para manejar Riesgos.
•
Monitorear y revisar la performance y
efectividad del ISMS.
•
Mejorar continuamente el ISMS basado en medidas por
objetivos.
La
ISO 9001 plantea el
enfoque basado en procesos con el modelo
Plan-Do-Check-Act o
sea Planear, Realizar, Controlar y Actuar para Mejorar; siendo el
Plan responsabilidad de la Dirección. Esto implica además realizar
la gestión de recursos, controlar la realización de producto y
actuar en base a medición, análisis y mejora.
En la
27001 se propone Establecer, Implementar, Operar, Monitorear
y revisar el ISMS y actuar manteniendo y mejorando el mismo.
Los capítulos 2 y 3
son Referencias normativas y términos y definiciones propias de cada
campo de aplicación, es decir, la ISO 9000 para los Sistemas de
Gestión de la Calidad en el caso de la 9001 y la 17799 para los
Sistemas de Gestión de la Seguridad en el caso de la 27001, o sea,
que las normas referenciadas son
diferentes de acuerdo al sistema que se trate de implementar.
El capítulo 4 en
ambas normas es el referido a Requisitos Generales, donde si bien
difiere el objeto del sistema a implementar, en ambos casos
determina que la Organización debe: establecer, documentar,
implementar y mantener un sistema de gestión.
Sin
embargo, existen algunas diferencias en el contenido de los ítems
considerados.
El 4.2
para la 9001 plantea requisitos de Documentación en el caso de la
27001, éstos se encuentran en el ítem 4.3
En el
caso de la 27001 se desarrolla en el ítem 4.2 un detalle exhaustivo
de cómo debe establecerse ítem 4.2.1, implementarse y operarse el
sistema ítem 4.2.2, monitorearse y revisarse el Sistema de Gestión
de la Seguridad de la Información en el ítem 4.2.3 y cómo debe
mantenerse y mejorar el SGSI en el ítem 4.2.4, es decir, si
comparamos los requisitos expuestos en el capítulo 4 para la 9001
podemos decir que los requisitos generales son mucho menos
detallados que en el caso de la 27001 y esto es razonable en virtud
de que la 27001 es una aplicación específica y técnica del modelo de
la 9001.
Luego
continúan los ítems según el siguiente detalle: Requisitos de la
Documentación, Control de Documentos y Control de Registros.
En la
9001 se establece el Requerimiento del Manual de la Calidad en el
ítem 4.2.2 que no está incluido en la 27001. Sin embargo, podemos
decir que está implícito el Manual de la Seguridad ya que en el
punto 4.2.1 se establece la necesidad de definir una política,
determinar, analizar y evaluar los riesgos, determinar el
tratamiento de los riesgos seleccionando objetivos de control y
controles adecuados y publicando un documento de aplicabilidad del
sistema, es decir que finalmente existe documentado y publicado el
equivalente a un Manual de la Seguridad de
la Información, aunque no esté explícito en la Norma.
Los
siguientes capítulos también difieren en su contenido no así en su
espíritu.
El 5to en ambos casos establece los requisitos de la Responsabilidad
de la Dirección para establecer distintos Sistemas de Gestión. En
ambos casos existe un compromiso de la Dirección claramente
definido, la gestión de recursos de infraestructura y humanos que en
la 9001 corresponde al capítulo 6, la revisión por la Dirección a
partir de auditorías internas que en la 27001 se visualiza en el
capítulo 6, la revisión por la dirección que en la 27001 corresponde
al capítulo 7.
Como dijimos, el capítulo 6 de la 9001 se corresponde con la Gestión
de Recursos, el capítulo 7 de la 9001 es específico de un Sistema de
Gestión Productivo ya que establece los requisitos de diseño, compra
y producción de bienes, por lo tanto, no tiene un capítulo
equivalente en el 27001, que sólo es un sistema de operación y
basado en información.
Finalmente, podemos ver que el capítulo 8 es tanto en espíritu como
en contenido similar en ambas normas y que trata de la
mejora continua del Sistema basado en acciones
correctivas y preventivas.
Como
corolario podemos establecer que ambas Normas utilizan el mismo
modelo de Gestión basado en un Sistema que se desagrega y relaciona
procesos específicos, donde el objeto es diferente pero las
actividades y responsabilidades son similares.
Domingo F. Donadello
Coordinador de
Certificación de Sistemas IT
IRAM - Argentina
|
