ISO/IEC 27001 es la norma internacional de referencia para el Sistema de Gestión de la Seguridad de la Información (SGSI). Cada vez más exigida por los clientes, en las licitaciones, por las aseguradoras de ciberriesgo o para el acceso a determinados mercados de exportación, SYAGA le acompaña desde la evaluación de brechas (gap assessment) hasta la preparación de la auditoría de certificación.
ISO 27001 no es una obligación legal general, pero se está convirtiendo en un requisito comercial ineludible
ISO/IEC 27001 sigue siendo un proceso voluntario. Sin embargo, se exige cada vez más en las licitaciones, por parte de grandes clientes, por algunas aseguradoras de ciberriesgo, o como requisito para el acceso a determinados mercados de exportación.
La mayoría de las pymes y empresas de tamaño intermedio no han iniciado ningún proceso estructurado de Sistema de Gestión de la Seguridad de la Información. El tema se percibe como complejo, técnico y largo.
Los proyectos de certificación clásicos movilizan a sus equipos durante varios meses y representan una inversión considerable, a menudo fuera del alcance de una pyme.
Movilizar al responsable de TI o al responsable de seguridad durante meses para construir un SGSI no es viable en una pyme donde cada persona ya desempeña varias funciones.
Un proceso estructurado en 3 fases, apoyado en la misma metodología ya probada por SYAGA en PSSI-Express
Entrevista de encuadre con la dirección y el responsable de sistemas de información, seguida de una evaluación sistemática de cada una de las 93 medidas de seguridad del Anexo A (edición 2022), repartidas en los 4 temas organizativo, humano, físico y tecnológico. Entrega de un informe de brechas factual.
Redacción o actualización de la política de seguridad (SGSI), de la Declaración de Aplicabilidad (DdA) que justifica la aplicación o exclusión de cada una de las 93 medidas, y de un plan de remediación priorizado para cubrir las brechas identificadas en la fase 1.
Seguimiento de la implementación del plan de remediación, revisión documental, y preparación de su equipo para la auditoría realizada por un organismo certificador acreditado independiente. SYAGA le prepara para la auditoría; la certificación en sí es emitida por ese organismo externo.
Los documentos estructurantes del expediente de certificación ISO 27001
Evaluación factual de su nivel de conformidad respecto a la norma.
Documento normativo central del expediente de certificación ISO 27001.
El documento de gobernanza exigido por las cláusulas 4 a 10 de la norma.
La hoja de ruta para cubrir las brechas identificadas.
Documentos aplicables directamente por sus equipos.
Todos los documentos en formatos que usted puede seguir modificando.
El SGSI de ISO 27001 se solapa de forma natural con varios marcos de referencia
Marco central: cláusulas 4 a 10 (requisitos de gestión) y Anexo A (93 medidas de seguridad repartidas en 4 temas).
Las medidas de gestión de ciberriesgos exigidas por la directiva NIS2 coinciden en gran medida con las medidas del Anexo A de ISO 27001. Un SGSI ISO 27001 facilita la puesta en conformidad con NIS2 para las entidades afectadas.
Las medidas de la guía de higiene informática de la ANSSI (autoridad francesa de ciberseguridad) coinciden con una parte significativa de las medidas del Anexo A de ISO 27001. Correspondencia documentada en el plan de remediación.
Las medidas técnicas y organizativas apropiadas exigidas por el artículo 32 del RGPD se apoyan en las mismas buenas prácticas que el Anexo A de ISO 27001 (control de acceso, cifrado, gestión de incidentes).
Cada proyecto ISO 27001 se dimensiona según su alcance y su madurez actual. Presupuesto personalizado sistemático.
Fotografía inicial de sus brechas
Desde el gap assessment hasta la preparación de la auditoría
Tras la certificación o de forma continua
Contáctenos para un presupuesto personalizado según su alcance y su madurez actual.