Primeros pasos para iniciar proyecto ISO 27001

1. Nombrar el comité

2. Crear la política de seguridad

3. Hacer el risk assessment.

4. Definir el Alcance de ISO

Ahí me confundo porque no se cual tarea va primero y cual después y no se las funciones del comité, me queda la duda si el comité es que el define el alcance y lo aprueba.

Por favor si ayuda para poder definir como vender el proyecto en el empresa.

Respuesta:
Lo primero que necesitas es obtener el apoyo de la dirección, y después también es importante ver la implementación como un proyecto. Este artículo te proporciona información sobre los pasos que necesitas para implementar la ISO 27001 en tu organización “ISO 27001 implementation checklist” : https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/

Con respecto a tu pregunta relativa al comité, este sólo era obligatorio en la versi ón antigua del estándar (ISO 27001:2005), pero en la versión actual (ISO 27001:2013) sólo es una buena práctica, en cualquier caso, el alcance debe ser aprobado por la alta dirección.

Con respecto a tu última pregunta, necesitas mostrar los beneficios de la implementación del proyecto a la alta dirección, los cuales principalmente son 4: cumplimiento, posicionamiento en el mercado, reducción de gastos y ordenación del negocio. Para más información sobre esto, por favor lee el siguiente artículo “Four key benefits of ISO 27001 implementation” : https://advisera.com/27001academy/knowledgebase/four-key-benefits-of-iso-27001-implementation/