Re: ISO 27000 y 27001
#12
Leia1
A lo largo de la implementación del SGSI te darás cuenta que no es posible cumplir con los requisitos de norma sin cumplir con los requisitos de ley, pues fundamentalmente la norma fue creada, entre otras cosas, para facilitar a las organizaciones para cumplir con los requisitos regulatorios
En la norma hacen especial referencia en:
1.1. Alcance
Dice que el SGSI para aplicar controles que protejan los activos de información y den confianza a las partes interesadas.
Entre las partes interesadas está el estado que establece las regulaciones en materia de SI a las organizaciones
Más adelante dice
1.2 Aplicación
No se pueden hacer exclusiones de controles que afecten la capacidad y/o responsabilidad de la organización para que satisfaga SI que satisfaga los requerimientos de seguridad determinados por la evaluación de riesgo y los requerimientos reguladores aplicables.
Aquí hace mención directa al cumplimiento con los requerimientos reguladores, es decir, que tiene una premisa de que si hay requerimientos reguladores aplicados a la seguridad de la información no deberías excluir los controles relacionados con el mismo.
3.16 enunciado de aplicabilidad
Se refiere a la definición del objetivo del control en el que puede estar referido, entre otros fines, a cumplir con requerimientos legales o reguladores,
4.2.1 b) 2) establece que la política de seguridad de la información debe incluir, entre otros el cumplimiento con requisitos legales o reguladores
4.2.1 c) 1) establece la valuación de los riesgos asociados con el cumplimiento de los requerimientos legales o reguladores
4.2.1 g) En la selección de controles debes incluir los que permitan cumplir los requisitos legales o reguladores
5.2.1 Provisión de Recursos
Identificar y tratar los requisitos legales y reguladores entre otros.
7.3 Resultados de la revisión gerencial
Establece revisar los cambios en los requerimientos legales o reguladores
En los controles encontraras constantemente los que se refieren a los requisitos legales.
En fin, cada vez las normas nos están indicando que debemos atender los requisitos legales, ya casi es imposible cumplir con la norma sin hacer revisión en el marco legal y realizar las acciones pertinentes para darle cumplimiento de forma sistemática y sustentable.
Gilberth Araujo
Asesor de sistemas de gestión
Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001
twitter@csaica