Navegando por este hilo: 1 Usuarios anónimos
one one
  • Home away from home
  • Home away from home
  • Joined: 2009/11/24 16:31
  • From Madrid/España
  • Group: Usuarios Registrados
  • Publicaciones: 2898
  • Level : 42
    HP : 207 / 1037
    MP : 966 / 44119
    EXP : 49
  • Offline
  • Publicado en: 2011/9/20 13:50
Re: ISO 27000 y 27001 #11
Como bien te dice Wilbert el cumplimiento de la LOPD en España es obligatorio independientemente de si certificas o no, pero ten en cuenta que los sistemas certificados ISO uno de sus criterios siempre es el cumplimiento legal.
SaludosRafael Moderador de Portal CalidadOne Economic&Quality ConsultingConsultoría de la Calidad y Medioambiente-Implantación y auditoríaDiseñamos su software de Calidad y Ambientalwww.oneconsulting.escontacto@oneconsultin
Gilberth Gilberth
  • Home away from home
  • Home away from home
  • Joined: 2008/12/30 5:50
  • From Chile
  • Group: Usuarios Registrados
  • Publicaciones: 331
  • Level : 16
    HP : 0 / 399
    MP : 110 / 18066
    EXP : 97
  • Offline
  • Publicado en: 2011/9/20 19:41
Re: ISO 27000 y 27001 #12

 

 

Leia1

 

A lo largo de la implementación del SGSI te darás cuenta que no es posible cumplir con los requisitos de norma sin cumplir con los requisitos de ley, pues fundamentalmente la norma fue creada, entre otras cosas, para facilitar a las organizaciones para cumplir con los requisitos regulatorios

En la norma hacen especial referencia en:

 

1.1. Alcance

 

Dice que el SGSI para aplicar controles que protejan los activos de información y den confianza a las partes interesadas.

 

Entre las partes interesadas está el estado que establece las regulaciones en materia de SI a las organizaciones

 

Más adelante dice

1.2 Aplicación

No se pueden hacer exclusiones de controles que afecten la capacidad y/o responsabilidad de la organización para que satisfaga SI que satisfaga los requerimientos de seguridad determinados por la evaluación de riesgo y los requerimientos reguladores aplicables.

 

Aquí hace mención directa al cumplimiento con los requerimientos reguladores, es decir, que tiene una premisa de que si hay requerimientos reguladores aplicados a la seguridad de la información no deberías excluir los controles relacionados con el mismo.

 

3.16 enunciado de aplicabilidad

 

Se refiere a la definición del objetivo del control en el que puede estar referido, entre otros fines, a cumplir con requerimientos legales o reguladores,

 

4.2.1 b) 2) establece que la política de seguridad de la información debe incluir, entre otros el cumplimiento con requisitos legales o reguladores

 4.2.1 c) 1) establece la valuación de los riesgos asociados con el cumplimiento de los requerimientos legales o reguladores

  4.2.1 g) En la selección de controles debes incluir los que permitan cumplir los requisitos legales o reguladores

5.2.1 Provisión de Recursos

Identificar y tratar los requisitos legales y reguladores entre otros.

 

7.3 Resultados de la revisión gerencial

 

Establece revisar los cambios en los requerimientos legales o reguladores

 

En los controles encontraras constantemente los que se refieren a los requisitos legales.

 

En fin, cada vez las normas nos están indicando que debemos atender los requisitos legales, ya casi es imposible cumplir con la norma sin hacer revisión en el marco legal y realizar las acciones pertinentes para darle cumplimiento de forma sistemática y sustentable.

 

 

 

 

Gilberth Araujo

Asesor de sistemas de gestión

Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

twitter@csaica

Laia1 Laia1
  • Just popping in
  • Just popping in
  • Joined: 2011/9/15 21:52
  • Group: Usuarios Registrados
  • Publicaciones: 4
  • Level : 1
    HP : 0 / 5
    MP : 1 / 203
    EXP : 21
  • Offline
  • Publicado en: 2011/9/20 22:13
Re: ISO 27000 y 27001 #13

Gracias a todos por responder..es lo que yo pensaba...sólo lo preguntaba porque me he encontrado un caso de una empresa certificada en 27001 y que no cumplia la LOPD, no tenia ningún fichero registrado en la agencia...... me dijeron que estaban en proceso, yo pensaba que eso era incompatible.

 

De nuevo gracias a todos

Gilberth Gilberth
  • Home away from home
  • Home away from home
  • Joined: 2008/12/30 5:50
  • From Chile
  • Group: Usuarios Registrados
  • Publicaciones: 331
  • Level : 16
    HP : 0 / 399
    MP : 110 / 18066
    EXP : 97
  • Offline
  • Publicado en: 2011/9/21 6:09
Re: ISO 27000 y 27001 #14

Leia 1

 

Esto suele suceder, y se puede atribuir a varias causas como

 

a) El cumplimiento de la LOPD no formó parte de las muestras seleccionadas por el(los) auditor (es)

b) La senda de la auditoría no llevó al auditor a verificar el cumplimiento con estos requisitos

c) El  auditor no tenía las competencias necesarias para verificar el cumplimiento para el momento de la auditoría

d) El organismo de certificación contrata auditores de otros países donde no necesariamente se conozca el marco legal de tu país.

 

De todas formas el que otro incumpla un requisito legal no justifica que tú no lo hagas.

 

Saludos,

Gilberth Araujo

Asesor de sistemas de gestión

Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

twitter@csaica

wilvivas wilvivas
  • Home away from home
  • Home away from home
  • Joined: 2009/4/22 12:15
  • From Poza Rica, Veracruz, México
  • Group: Usuarios Registrados
  • Publicaciones: 2623
  • Level : 40
    HP : 0 / 998
    MP : 874 / 44211
    EXP : 95
  • Offline
  • Publicado en: 2011/9/21 6:15
Re: ISO 27000 y 27001 #15
Referencia:
Gilberth escribió:

d) El organismo de certificación contrata auditores de otros países donde no necesariamente se conozca el marco legal de tu país.

 

Esto plantea una duda, ¿son realmente confiables los OC?, cómo puedes auditar si no tienes el mínimo conocimiento de los requisitos aplicables en el país u organización donde estás trabajando.

Espero los puntos de vista de ustedes. 

Saludos 

Ing. Wilbert Arturo Vivas TorrezVeritas et TriumphusDirector y consultorConsultoría, capacitación y auditoría en:- ISO 9001- ISO 14001- ISO 45001- ISO/IEC 17025- ISO/IEC 17021- ISO/IEC 17020- FSSC 22000Cel. (+52) 782 185 3484
albertojhr albertojhr
  • Just popping in
  • Just popping in
  • Joined: 2019/9/11 4:59
  • Group: Usuarios Registrados
  • Publicaciones: 2
  • Level : 1
    HP : 0 / 0
    MP : 0 / 9
    EXP : 2
  • Offline
  • Publicado en: 2019/9/11 5:03
Re: ISO 27000 y 27001 #16
Saludos desde Peru

Una consulta, es posible aplicar a la certificacion ISO 27001 enfocada en el sistema core de la empresa, de hecho que hay mas sistemas, pero el que contiene la informacion vital y sobre el cual se deben cumplir normas y leyes es sobre el cual queremos plantear dicha certicacion.
agradezco me orienten en el tema
Saludos
Gilberth Gilberth
  • Home away from home
  • Home away from home
  • Joined: 2008/12/30 5:50
  • From Chile
  • Group: Usuarios Registrados
  • Publicaciones: 331
  • Level : 16
    HP : 0 / 399
    MP : 110 / 18066
    EXP : 97
  • Offline
  • Publicado en: 2019/9/11 5:48
Re: ISO 27000 y 27001 #17
De hecho sucede con mucha frecuencia Wilbert.

Ahora mismo se esta viviendo con la ISO 37001 en la que no hay reglamento de acreditación por el IAF, pero hay OC que entregan certificaciones sin acreditación.

La garantía que tiene el certificado no es más que la palabra del OC.[quote]
Wilbert Arturo Vivas Torrez escribió:

Gilberth Araujo

Asesor de sistemas de gestión

Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

twitter@csaica

Gilberth Gilberth
  • Home away from home
  • Home away from home
  • Joined: 2008/12/30 5:50
  • From Chile
  • Group: Usuarios Registrados
  • Publicaciones: 331
  • Level : 16
    HP : 0 / 399
    MP : 110 / 18066
    EXP : 97
  • Offline
  • Publicado en: 2019/9/11 5:53
Re: ISO 27000 y 27001 #18
Referencia:

albertojhr escribió:
Saludos desde Peru

Una consulta, es posible aplicar a la certificacion ISO 27001 enfocada en el sistema core de la empresa, de hecho que hay mas sistemas, pero el que contiene la informacion vital y sobre el cual se deben cumplir normas y leyes es sobre el cual queremos plantear dicha certicacion.
agradezco me orienten en el tema
Saludos



La definición del alcance de un SGSI no depende sólo del (los) sistema(s) que tenga la organización, se deben analizar los activos de información dependientes, las ubicaciones físicas, los activos auxiliares, etc.

Hace poco hice un webinar al respecto, lo puedes ver a continuación:https://www.youtube.com/watch?v=nO_EpP5BdL4

Saludos

Gilberth

Gilberth Araujo

Asesor de sistemas de gestión

Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

twitter@csaica

albertojhr albertojhr
  • Just popping in
  • Just popping in
  • Joined: 2019/9/11 4:59
  • Group: Usuarios Registrados
  • Publicaciones: 2
  • Level : 1
    HP : 0 / 0
    MP : 0 / 9
    EXP : 2
  • Offline
  • Publicado en: 2019/9/11 9:07
Re: ISO 27000 y 27001 #19
gracias por responder, si entiendo que va mas alla del sistema, pero puede centrarse en todas esas necesidades vinculadas a ese sistema de informacion?
La idea es decir que ese sistema de informacion, core del negocio tiene ISO 27001, que asegura la confidencialidad y la integridad de los datos; pero no necesariamente otros sistemas de informacion de la organizacion.

Voy a escuchar el webinar, si tienes algun comentario sobre lo que planteo te agradezco
Gilberth Gilberth
  • Home away from home
  • Home away from home
  • Joined: 2008/12/30 5:50
  • From Chile
  • Group: Usuarios Registrados
  • Publicaciones: 331
  • Level : 16
    HP : 0 / 399
    MP : 110 / 18066
    EXP : 97
  • Offline
  • Publicado en: 2019/9/11 11:04
Re: ISO 27000 y 27001 #20
Referencia:

albertojhr escribió:
gracias por responder, si entiendo que va mas alla del sistema, pero puede centrarse en todas esas necesidades vinculadas a ese sistema de informacion?
La idea es decir que ese sistema de informacion, core del negocio tiene ISO 27001, que asegura la confidencialidad y la integridad de los datos; pero no necesariamente otros sistemas de informacion de la organizacion.

Voy a escuchar el webinar, si tienes algun comentario sobre lo que planteo te agradezco


Efectivamente, el alcance lo puedes definir sólo a un sistema de información (como activo), no obstante debes revisar algunos aspectos importantes como lo son la infraestructura que lo soporta, si haces desarrollo, dónde están alojadas las bases de datos. Finalmente uno puede limitar cuanto "quiera" un sistema de gestión (como pasa con las normas de sistemas de gestión de la ISO), pero es importante que la definición sea consistente con los activos de información que son relevantes para el negocio. Los alcances en la ISO/IEC 27001 normalmente están referidos a un grupo de activos que se usan para una línea de negocio y haciendo referencia a una declaración de aplicabilidad con una versión específica.

Saludos,

Gilberth Araujo

Asesor de sistemas de gestión

Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

twitter@csaica

Design by: portalcalidad