Riesgos y Declaracion de Aplicabilidad

1.       La norma dice en 6.1.1, apartado “d” que las acciones para hacer frente a los riesgos y oportunidades deben ser integradas e implementadas dentro de SGSI y que además deben ser evaluadas.

Claramente los riesgos se evalúan con la metodología de análisis de riesgos, se tratan con el plan de tratamiento de riesgos y se evalúan con el avance del mismo plan y una herramienta que hemos llamado Tablero de Control.  Esto lo hacemos desde la versión anterior, solamente se ha estado mejorando.

La duda nos surge con la evaluación de las oportunidades, porque eso no lo hemos hecho antes. De momento lo que hemos hecho es una guía para que las oportunidades identificadas se comuniquen y el personal esté alerta para aprovecharlas. También incluye una valoración anual para ver cómo se aprovecharon esas oportunidades, pero como sabrás, eso es un poco abstracto y subjetivo para medirlo. ¿Existe alguna herramienta para realizar esta medición o estará bien con lo que te he comentado?

2.       En cuanto a la declaratoria de aplicabili dad, me queda la duda si debo incluir los controles propios de la empresa o solamente los controles del anexo de la norma?

Respuesta:

Muchas gracias por tu mensaje, nos alegremos de que el Webinar haya sido de tu agrado. Pronto volveremos a vernos en más webinars. En relación a tus preguntas:

Punto 1: Creo que tu operativa para evaluar las oportunidades cumple con lo establecido en el estándar (identificación y comunicación), ten en cuenta que la ISO 27001 no te dice cómo tienes que hacer algo, por tanto no necesitas una herramienta específica. Pero aquí es muy importante mantener los registros de la evaluación. En cualquier caso, creo que este webinar gratuito también puede ser muy interesante para ti (en inglés) : “ISO 27001 and ISO 27004: How to measure the effectiveness of information” : https://advisera.com/27001academy/webinar/iso-27001-iso-27004-measure-effectiveness-information-security-free-webinar/

Punto 2: Puedes incluir controles propios de tu negocio en la Declaración de Aplicabilidad, pero también tienes que listar los 114 controles del Anexo A. Realmente la Declaración de Aplicabilidad debe ser completada después del análisis de riesgos, porque dependiendo de los resultados de esto, implementarás controles, y entonces necesitarás incluir la aplicabilidad de cada control en la Declaración de Aplicabilidad. Por tanto, incluirás los controles que necesites como resultado del análisis de riesgos. Si necesitas más información sobre la Declaración de Aplicabilidad, por favor lee este artículo (en inglés) "The importance of Statement of Applicability for ISO 27001": https://advisera.com/27001academy/knowledgebase/the-importance-of-statement-of-applicability-for-iso-27001/