Como bien te dice Wilbert el cumplimiento de la LOPD en España es obligatorio independientemente de si certificas o no, pero ten en cuenta que los sistemas certificados ISO uno de sus criterios siempre es el cumplimiento legal.

 

 

Leia1

 

A lo largo de la implementación del SGSI te darás cuenta que no es posible cumplir con los requisitos de norma sin cumplir con los requisitos de ley, pues fundamentalmente la norma fue creada, entre otras cosas, para facilitar a las organizaciones para cumplir con los requisitos regulatorios

En la norma hacen especial referencia en:

 

1.1. Alcance

 

Dice que el SGSI para aplicar controles que protejan los activos de información y den confianza a las partes interesadas.

 

Entre las partes interesadas está el estado que establece las regulaciones en materia de SI a las organizaciones

 

Más adelante dice

1.2 Aplicación

No se pueden hacer exclusiones de controles que afecten la capacidad y/o responsabilidad de la organización para que satisfaga SI que satisfaga los requerimientos de seguridad determinados por la evaluación de riesgo y los requerimientos reguladores aplicables.

 

Aquí hace mención directa al cumplimiento con los requerimientos reguladores, es decir, que tiene una premisa de que si hay requerimientos reguladores aplicados a la seguridad de la información no deberías excluir los controles relacionados con el mismo.

 

3.16 enunciado de aplicabilidad

 

Se refiere a la definición del objetivo del control en el que puede estar referido, entre otros fines, a cumplir con requerimientos legales o reguladores,

 

4.2.1 b) 2) establece que la política de seguridad de la información debe incluir, entre otros el cumplimiento con requisitos legales o reguladores

 4.2.1 c) 1) establece la valuación de los riesgos asociados con el cumplimiento de los requerimientos legales o reguladores

  4.2.1 g) En la selección de controles debes incluir los que permitan cumplir los requisitos legales o reguladores

5.2.1 Provisión de Recursos

Identificar y tratar los requisitos legales y reguladores entre otros.

 

7.3 Resultados de la revisión gerencial

 

Establece revisar los cambios en los requerimientos legales o reguladores

 

En los controles encontraras constantemente los que se refieren a los requisitos legales.

 

En fin, cada vez las normas nos están indicando que debemos atender los requisitos legales, ya casi es imposible cumplir con la norma sin hacer revisión en el marco legal y realizar las acciones pertinentes para darle cumplimiento de forma sistemática y sustentable.

 

 

 

 

Gracias a todos por responder..es lo que yo pensaba...sólo lo preguntaba porque me he encontrado un caso de una empresa certificada en 27001 y que no cumplia la LOPD, no tenia ningún fichero registrado en la agencia...... me dijeron que estaban en proceso, yo pensaba que eso era incompatible.

 

De nuevo gracias a todos

Leia 1

 

Esto suele suceder, y se puede atribuir a varias causas como

 

a) El cumplimiento de la LOPD no formó parte de las muestras seleccionadas por el(los) auditor (es)

b) La senda de la auditoría no llevó al auditor a verificar el cumplimiento con estos requisitos

c) El  auditor no tenía las competencias necesarias para verificar el cumplimiento para el momento de la auditoría

d) El organismo de certificación contrata auditores de otros países donde no necesariamente se conozca el marco legal de tu país.

 

De todas formas el que otro incumpla un requisito legal no justifica que tú no lo hagas.

 

Saludos,

Referencia:

Esto plantea una duda, ¿son realmente confiables los OC?, cómo puedes auditar si no tienes el mínimo conocimiento de los requisitos aplicables en el país u organización donde estás trabajando.

Espero los puntos de vista de ustedes. 

Saludos 

Saludos desde Peru

Una consulta, es posible aplicar a la certificacion ISO 27001 enfocada en el sistema core de la empresa, de hecho que hay mas sistemas, pero el que contiene la informacion vital y sobre el cual se deben cumplir normas y leyes es sobre el cual queremos plantear dicha certicacion.
agradezco me orienten en el tema
Saludos

De hecho sucede con mucha frecuencia Wilbert.

Ahora mismo se esta viviendo con la ISO 37001 en la que no hay reglamento de acreditación por el IAF, pero hay OC que entregan certificaciones sin acreditación.

La garantía que tiene el certificado no es más que la palabra del OC.[quote]
Wilbert Arturo Vivas Torrez escribió:

Referencia:


La definición del alcance de un SGSI no depende sólo del (los) sistema(s) que tenga la organización, se deben analizar los activos de información dependientes, las ubicaciones físicas, los activos auxiliares, etc.

Hace poco hice un webinar al respecto, lo puedes ver a continuación:https://www.youtube.com/watch?v=nO_EpP5BdL4

Saludos

Gilberth

gracias por responder, si entiendo que va mas alla del sistema, pero puede centrarse en todas esas necesidades vinculadas a ese sistema de informacion?
La idea es decir que ese sistema de informacion, core del negocio tiene ISO 27001, que asegura la confidencialidad y la integridad de los datos; pero no necesariamente otros sistemas de informacion de la organizacion.

Voy a escuchar el webinar, si tienes algun comentario sobre lo que planteo te agradezco

Referencia:

Efectivamente, el alcance lo puedes definir sólo a un sistema de información (como activo), no obstante debes revisar algunos aspectos importantes como lo son la infraestructura que lo soporta, si haces desarrollo, dónde están alojadas las bases de datos. Finalmente uno puede limitar cuanto "quiera" un sistema de gestión (como pasa con las normas de sistemas de gestión de la ISO), pero es importante que la definición sea consistente con los activos de información que son relevantes para el negocio. Los alcances en la ISO/IEC 27001 normalmente están referidos a un grupo de activos que se usan para una línea de negocio y haciendo referencia a una declaración de aplicabilidad con una versión específica.

Saludos,