Proceso de Certificación ISO 27001: Una Guía Paso a Paso
La ISO 27001 es un estándar riguroso y puede ser intimidante abordarlo si es la primera vez que te certificas.
¿Dónde empiezas? ¿Qué políticas y controles necesitarás? ¿Cómo sabes si estás listo para una auditoría?
Entender el proceso para obtener la certificación ISO 27001 puede ayudarte a prepararte para una auditoría exitosa y eliminar mucho del estrés en el camino.
En este post, explicaremos el proceso de certificación ISO 27001, incluyendo lo que las organizaciones necesitan hacer para prepararse y lo que ocurre durante cada fase de la auditoría de certificación.
Las fases del proceso de certificación ISO 27001
Para alcanzar la certificación ISO 27001, necesitarás someterte a una serie de auditorías. Aquí está lo que puedes esperar al prepararte y completar tu certificación.
Fase uno: crear un plan de proyecto
¿Quién dentro de tu organización supervisará el proceso, establecerá expectativas y gestionará hitos? ¿Cómo obtendrás el apoyo de la dirección de la empresa? ¿Contratarás a un consultor ISO 27001 para ayudarte a navegar el proceso?
Educarte sobre los estándares ISO 27001 y sus 114 controles es una parte clave de este proceso. Un buen lugar para comenzar es nuestra guía detallada sobre ISO 27001.
Fase dos: definir el alcance de tu SGSI
Cada negocio es único y alberga diferentes tipos de datos. Antes de construir tu SGSI, necesitarás determinar exactamente qué tipo de información necesitas proteger.
Para algunas empresas, el alcance de su SGSI incluye toda su organización. Para otras, incluye solo un departamento o sistema específico.
Tu equipo necesitará discutir lo que deseas que se represente en la declaración de alcance de tu certificado ISO 27001.
Comienza preguntándote:
“¿Qué servicio, producto o plataforma interesa más a nuestros clientes ver como parte de nuestro certificado ISO 27001?”
Fase tres: realizar una evaluación de riesgos y análisis de brechas
Una evaluación formal de riesgos es un requisito para el cumplimiento de la ISO 27001. Eso significa que los datos, el análisis y los resultados de tu evaluación de riesgos deben ser documentados.
Para empezar, considera tu línea base de seguridad. ¿A qué obligaciones legales, regulatorias o contractuales está sujeta tu empresa?
Muchas startups que no tienen un equipo de cumplimiento dedicado optan por contratar a un consultor ISO para ayudar con su análisis de brechas y plan de remediación. Un consultor que tenga experiencia trabajando con empresas como la tuya puede proporcionar orientación experta para ayudarte a cumplir con los requisitos de cumplimiento.
Además, pueden ayudarte a establecer mejores prácticas que fortalezcan tu postura general de seguridad.
Fase cuatro: diseñar e implementar políticas y controles
Ahora que has identificado los riesgos, necesitarás decidir cómo responderá tu organización. ¿Qué riesgos estás dispuesto a tolerar y cuáles necesitas abordar?
Tu auditor querrá revisar las decisiones que has tomado respecto a cada riesgo identificado durante tu auditoría de certificación ISO 27001. También necesitarás producir una Declaración de Aplicabilidad y un Plan de Tratamiento de Riesgos como parte de la evidencia de tu auditoría.
La Declaración de Aplicabilidad resume y explica cuáles controles y políticas de ISO 27001 son relevantes para tu organización. Este documento es una de las primeras cosas que revisará tu auditor externo durante tu auditoría de certificación.
El Plan de Tratamiento de Riesgos es otro documento esencial para la certificación ISO 27001. Registra cómo responderá tu organización a las amenazas que identificaste durante tu proceso de evaluación de riesgos.
El estándar ISO 27001 describe cuatro acciones:
- Modificar el riesgo estableciendo controles que reduzcan la probabilidad de que ocurra
- Evitar el riesgo previniendo las circunstancias donde podría ocurrir
- Compartir el riesgo con una tercera parte (es decir, subcontratar los esfuerzos de seguridad a otra empresa, comprar seguros, etc.)
- Aceptar el riesgo porque el costo de abordarlo es mayor que el daño potencial
A continuación, implementará políticas y controles en respuesta a los riesgos identificados. Sus políticas deben establecer y reforzar las mejores prácticas de seguridad, como exigir a los empleados que utilicen la autenticación multifactor y bloqueen los dispositivos siempre que abandonen sus estaciones de trabajo.
Fase cinco: completar la capacitación de los empleados
ISO 27001 requiere que todos los empleados reciban capacitación sobre seguridad de la información. Esto asegura que todos dentro de su organización comprendan la importancia de la seguridad de los datos y su papel en lograr y mantener el cumplimiento.
Fase seis: documentar y recopilar evidencia
Para obtener la certificación ISO 27001, deberá demostrar a su auditor que ha establecido políticas y controles efectivos y que están funcionando según lo requerido por el estándar ISO 27001.
Recopilar y organizar toda esta evidencia puede llevar muchísimo tiempo. El software de automatización de cumplimiento para ISO 27001 puede eliminar cientos de horas de trabajo al recopilar esta evidencia por usted.
Fase siete: completar una auditoría de certificación ISO 27001
En esta fase, un auditor externo evaluará su ISMS para verificar que cumple con los requisitos de ISO 27001 y emitirá su certificación.
Una auditoría de certificación se realiza en dos etapas. Primero, el auditor completará una auditoría de la Etapa 1, donde revisará la documentación de su ISMS para asegurarse de que tiene las políticas y procedimientos correctos en su lugar.
A continuación, una auditoría de la Etapa 2 revisará sus procesos comerciales y controles de seguridad. Una vez completadas las auditorías de la Etapa 1 y la Etapa 2, se le emitirá una certificación ISO 27001 válida por tres años.
Fase ocho: mantener el cumplimiento continuo
ISO 27001 se trata de la mejora continua. Tendrá que seguir analizando y revisando su ISMS para asegurarse de que sigue funcionando de manera efectiva. Y a medida que su negocio evolucione y surjan nuevos riesgos, deberá estar atento a las oportunidades de mejorar los procesos y controles existentes.
El estándar ISO 27001 requiere auditorías internas periódicas como parte de este monitoreo continuo. Los auditores internos examinan los procesos y políticas para buscar posibles debilidades y áreas de mejora antes de una auditoría externa.
El proceso de auditoría de certificación ISO 27001
- Etapa 1: Revisión del diseño del ISMS
Revisar la documentación del ISMS para asegurarse de que las políticas y procedimientos están correctamente diseñados. - Etapa 2: Auditoría de certificación
Revisar los procesos comerciales y los controles para cumplir con los requisitos del ISMS y del Anexo A. - Auditorías de vigilancia
Asegurarse de que su programa de cumplimiento ISO 27001 sigue siendo efectivo y se mantiene. - Auditoría de recertificación
Al final del período de certificación de tres años, una auditoría de recertificación evalúa los controles del ISMS y del Anexo A para verificar el cumplimiento. La recertificación es válida por otros tres años.
Una vez que haya construido su ISMS, completado una evaluación de brechas, implementado controles, capacitado a su personal y recopilado evidencia, estará listo para comenzar el proceso de auditoría.
Una auditoría formal de ISO 27001 se realiza en etapas:
Etapa 1: Revisión del diseño del ISMS
Revisar la documentación del ISMS para asegurarse de que las políticas y procedimientos están correctamente diseñados.
En esta etapa, su auditor se asegurará de que su documentación cumpla con los requisitos de ISMS ISO 27001 enumerados en las cláusulas 4-10. También señalarán cualquier no conformidad u oportunidades para mejorar su ISMS.
Una vez que haya implementado los cambios sugeridos, estará listo para su auditoría de la Etapa 2.
Etapa 2: Auditoría de certificación
Revisar los procesos comerciales y los controles para asegurar el cumplimiento con ISO 27001 ISMS y los requisitos del Anexo A.
Aquí es donde su auditor completará una evaluación detallada para determinar si su organización cumple con los requisitos de ISO 27001.
Una vez completadas las Etapas 1 y 2, su certificación ISO 27001 es válida por tres años.
Auditorías de vigilancia
Dentro del período de certificación de tres años, deberá realizar auditorías continuas. Estas auditorías aseguran que su programa de cumplimiento ISO 27001 siga siendo efectivo y se mantenga.
Las auditorías de vigilancia verifican que las organizaciones estén manteniendo correctamente su SGSI y los controles del Anexo A. Los auditores de vigilancia también verificarán que se hayan abordado las no conformidades o excepciones observadas durante la auditoría de certificación.
Auditoría de recertificación
Durante el último año del término de certificación de tres años de ISO, su organización puede someterse a una auditoría de recertificación.
Similar a la Etapa 2, el auditor completará una evaluación detallada para determinar si su organización cumple con los requisitos de ISO 27001 para el diseño y la efectividad operativa de los procesos/controles.
Después de completar la auditoría de recertificación, su certificación ISO 27001 es válida por otros tres años. La mayoría de las organizaciones pasan de 6 a 12 meses preparándose para y completando una auditoría de certificación ISO 27001.
Requisitos de ISO 27001: evidencia del proceso
Durante su auditoría de certificación, su auditor necesitará evaluar diferentes aspectos de su SGSI, incluyendo políticas, procesos empresariales y evidencia de respaldo.
Aquí tiene una línea base de la documentación que deberá proporcionar a su auditor:
- Alcance del SGSI
- Política de seguridad de la información
- Proceso de evaluación de riesgos de seguridad de la información
- Proceso de tratamiento de riesgos de seguridad de la información
- Declaración de aplicabilidad
- Objetivos de seguridad de la información
- Evidencia de competencia
- Programa de capacitación en concienciación sobre seguridad y resultados
- Resultados de la evaluación de riesgos de seguridad de la información
- Resultados del tratamiento de riesgos de seguridad de la información
- Evidencia de monitoreo y medición de resultados
- Proceso de auditoría interna documentado
- Evidencia de programas de auditoría y resultados
- Evidencia de resultados de revisiones de la gestión
- Evidencia de no conformidades y remediaciones
- Evidencia de resultados de remediación
- Evidencia de actividades de control del Anexo A
Diagrama de flujo del proceso de certificación ISO 27001
El proceso de certificación ISO 27001 puede parecer intimidante, pero no tiene por qué ser tan abrumador. Este diagrama de flujo le ayudará a visualizar el proceso de certificación ISO 27001, descomponerlo en pasos manejables y seguir su progreso hacia la obtención del cumplimiento.
Simplifique el proceso con Secureframe
Una vez que haya creado políticas y reunido evidencia para su auditoría ISO 27001, probablemente tendrá cientos de documentos que deberán ser recopilados, catalogados y actualizados. Y deberá asegurarse de que toda su documentación esté organizada con los controles y requisitos correctos para que su auditor pueda verificar todo.
Secureframe puede simplificar la carga de trabajo para que el proceso de preparación y mantenimiento del cumplimiento sea más manejable y menos estresante. Le ayudaremos a construir un SGSI conforme, monitorear su stack tecnológico en busca de vulnerabilidades y gestionar riesgos. Programe una demostración para obtener más información.