¿Qué procesos críticos seleccionar para la implementación de ISO 27001?
Assign topic to the user
En la empresa en la que laboro, se han definido 10 procesos que son críticos desde el punto de vista del negocio. Para implementar el SGSI:
¿cómo identifico cual de los 10 procesos críticos considerar para implementar el SGSI? .
¿pudo considerar otros procesos distintos a los críticos?
mi consulta va dirigida dado que el ente regulador, al momento de la revisión nos preguntará cual fue el criterio de selección del proceso que se considero para realizar el SGSI, y porque no se considero el resto de los procesos.
Answer:
El principal objetivo de establecer el alcance del SGSI es definir qué información quieres o necesitas proteger en tu negocio, por tanto, necesitas identificar la información que tienen tus procesos y pensar qué información quieres proteger de esos 10 procesos. Y sí, puedes considerar todos los procesos -críticos y no críticos- pero desde mi punto de vista, generalmente los procesos críticos tienen información crítica que se debe de proteger.
El auditor certificador (con esto quiero decir el auditor de la entidad certificadora) revisará si toda la información incluida en el alcance está protegida, por tanto el criterio puede ser que incluyas en el alcance del SGSI aquellos procesos que tienen información relevante para el negocio y es necesario protegerla.
Este artículo sobre la definición del alcance puede ser interesante para ti How to define the ISMS scope : https://advisera.com/27001academy/knowledgebase/how-to-define-the-isms-scope/
Comment as guest or Sign in
Jan 13, 2016