ISO 27001 Sistema de Gestión de Seguridad de la Información es de gran importancia para las actividades de su organización y tal vez su continuación.
Cambios significativos en la norma ISO 27002:2022
Con la revisión de la norma ISO 27002:2022, se ha proporcionado un conjunto de referencia para los controles de seguridad de la información que se utilizarán basándose en la gestión de riesgos de seguridad de la información y que pretende mejorar otras normas de la familia 27000.
¿Cuáles son las etapas de aplicación de la norma ISO/IEC 27701?
Existen tres pasos que le ayudarán a introducirse en los requisitos de la norma ISO/IEC 27701 y en la certificación de gestión de la información sobre privacidad.
El primer paso es comprender los requisitos;
Si su organización ya dispone de un SGSI ISO 27001, puede empezar con ISO 27701. Si no es así, hay que empezar por implantar el SGSI.
La guía y los requisitos de la norma ISO/IEC 27701 Sistema de Gestión de la Información sobre Privacidad (PIMS) abarcan 8 cláusulas diferentes y 6 anexos, incluidos los controles de la información de identificación personal (PII) y las correspondencias entre las normas relacionadas y el GDPR.
Es fundamental que comprenda todas las orientaciones, requisitos y controles y que se asegure de que se aplican adecuadamente en toda su organización.
Una vez que tenga la norma y comprenda los requisitos, estará listo para pasar al Paso 2: Implantación de la norma ISO/IEC 27701 y demostrar que se toma en serio la protección de la información personal.
He aquí algunos consejos para implantar con éxito la norma ISO/IEC 27701:
- Crear un equipo de proyecto para implantar el PIMS y obtener los mejores resultados,
- Consiga el compromiso de toda la organización, incluidos el equipo directivo, los empleados y la cadena de suministro,
- Interactúe regularmente con su equipo directivo y las principales partes interesadas,
- Defina claramente el papel de su organización como encargado del tratamiento, responsable del tratamiento o ambos,
- Compare sus procesos y controles de privacidad actuales con los requisitos de la norma ISO/IEC 27701,
- Obtenga información de la cadena de suministro y de las partes interesadas sobre sus procesos y controles de privacidad actuales,
- Adaptar los principios básicos de la norma ISO/IEC 27701 a su organización.
- Motive y apoye a su personal mediante cursos de formación,
- Crear un enfoque más coherente en toda la cadena de suministro de procesamiento de datos animando a otros a aplicar la norma ISO/IEC 27701,
- Revise periódicamente su sistema ISO/IEC 27701 para asegurarse de que sigue siendo eficaz y de que lo mejora continuamente.
Paso 3 Certificación
Una vez que haya implantado los requisitos, estará listo para iniciar el proceso de certificación de la norma ISO/IEC 27701.
En primer lugar, tiene que encontrar un organismo de certificación acreditado por UKAS o cualquier otro organismo nacional de acreditación de su país.
Hay dos etapas en las que evaluamos la implantación de su sistema de gestión de la información sobre privacidad. Comprobaremos los procedimientos y controles de su organización para asegurarnos de que funcionan eficazmente según lo exigido para la certificación de la norma ISO/IEC 27701 en esas dos fases.
Cuando su PIMS obtenga la certificación, recibirá su certificado ISO/IEC 27701, válido durante tres años.
Le visitaremos periódicamente para asegurarnos de que su sistema no sólo sigue cumpliendo la normativa, sino que mejora continuamente y añade valor a su organización.
Estamos a su disposición para responder a cualquier pregunta que tenga y estaremos encantados de ayudarle a iniciar su viaje hacia la certificación. Póngase en contacto con nosotros para hablar de sus requisitos de consultoría o certificación ISO/IEC 27701.
Certificación ISO 27001: Qué es y por qué la necesita
Hoy en día, las organizaciones recopilan, almacenan y procesan ingentes cantidades de datos. Información sobre empleados, proveedores, clientes, propiedad intelectual, registros financieros, registros de comunicaciones… todos ellos son tipos de datos habituales en casi todas las empresas.