Atta.cl

Nueva ISO 27000:2013. Cambios a tener en cuenta.

Ya correspondía la actualización; la International Organization for Standardization (ISO),  ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000:2013 que sustituye a la ISO 27000:2005.

 

Entre dichas normas existen muchas diferencias y aunque las mismas no son demasiado drásticas, las revisaremos en este artículo.

  • El cambio más evidente en la nueva versión de la norma es el de su estructura la cual se adapta a todas las normas de gestión. Además en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
  • Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
  • Los conceptos “documentos” y “registros” pasan a llamarse información documentada, en esta nueva norma.
  • La evaluación de riesgos ya no se realizará a partir de los activos, las vulnerabilidades y las amenazas sino que estos sólo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
  • En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
  • Las acciones preventivas también son objeto de cambio en la norma 27001, ya que la nueva versión no incluye acciones preventivas ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
  • Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
  • En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica etc.

Estos cambios no sólo modifican a la norma anterior sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.

La ISO 27000:2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.

 

 

Gestión de Calidad

Implemente ISO 9001:2008 y generará ahorros importantes en la reducción de costos de no calidad en su organización.
contáctenos

Expertos en mejora continua

Confíe en nuestra asesoría experta para definir e implementar estrategias de mejora continua sus procesos productivos.
contáctenos

Financiamiento para su mejora

Contamos con las herramientas necesarias para gestionar el financiamiento de acuerdo a su empresa en CORFO y otros. contáctenos

Seguridad de la Información

Implemente y certifique su SGSI basado en la norma de seguridad en la información ISO 27001:2005. Proteja lo más valioso de su empresa.contáctenos