Expert Advice Community

Guest

Alcance certificación ISO 27001

  Quote
Guest
Guest user Created:   Apr 09, 2018 Last commented:   Apr 10, 2018

Alcance certificación ISO 27001

Trabajo en una empresa grande de telecomunicaciones, y han dicho que nos tenemos que certificar este año en la 27001. Pero no han definido el alcance, preguntando a especialistas, nos dicen que se certifican procesos, pero por otros lados veo que se certifican áreas, y la verdad no he encontrado el alcance de la certificación. Se certifican por áreas o procesos entonces?
0 0

Assign topic to the user

ISO 27001 DOCUMENTATION TOOLKIT

Step-by-step implementation for smaller companies.

ISO 27001 DOCUMENTATION TOOLKIT

Step-by-step implementation for smaller companies.

Guest
Antonio Jose Segovia Apr 09, 2018

Respuesta: Realmente puedes certificar lo que quieras, es decir, puedes certificar áreas, procesos, servicios, etc. Un ejemplo de una certificación ISO 27001 de una entidad certificadora podría ser este "Los sistemas de información que dan soporte a las áreas, los procesos y los servicios de la organización, de acuerdo a la declaración de aplicabilidad, versión 1.0". Este artículo puede ser útil para ti “How to define the ISMS scope” : https://advisera.com/27001academy/knowledgebase/how-to-define-the-isms-scope/

Y también este otro “Problemas para definir e l alcance de la norma ISO 27001” : https://advisera.com/27001academy/es/blog/2010/06/29/problemas-para-definir-el-alcance-de-la-norma-iso-27001/
Quote
0 0
Guest
Antonio Jose Segovia Apr 10, 2018
En relación a la misma cuestión del alcance, he recibido la siguiente pregunta:

> Entonces ¿puedo certificar incluso un control, objetivo de contro y/o dominio?

Y mi respuesta: Disculpa, pero no se si he entendido bien tu pregunta, en cualquier caso, no puedes certificar un control un objetivo de control y/o un dominio. Puedes seleccionar aplicar, o no aplicar, controles de seguridad en la Declaración de Aplicabilidad, dependiendo de los resultados del análisis y tratamiento de riesgos. Es decir, si defines un alcance (basado, por ejemplo, como dije en mi mensaje previo, en procesos, servicios, áreas, etc), tienes que identificar los riesgos de este alcance, y tienes que tratar estos riesgos. Para este tratamiento, necesitas controles de seguridad, por tanto, basicamente, tienes que implementar los controles de seguridad necesarios para tratar los riesgos identificados. Este artículo puede ser interesante para ti “La lógica básica de ISO 27001: ¿cómo funciona la seguridad de la información?” : https://advisera.com/27001academy/es/knowledgebase/la-logica-basica-de-iso-27001-como-funciona-la-seguridad-de-la-informacion/

Y también este otro “La importancia de la Declaración de aplicabilidad para la norma ISO 27001” : https://advisera.com/27001academy/es/knowledgebase/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001/
Quote
0 0

Comment as guest or Sign in

HTML tags are not allowed

Apr 09, 2018

Apr 10, 2018