Comparación de las normas SAS 70 e ISO/IEC 27001:2005
SAS 70 (Statement on Auditing Standards No. 70) vs. ISO 27001 (Gestión de la Seguridad de la Información)
Notas del autor:
Agunas organizaciones con propiedad mercantil en los EEUU o relaciones comerciales directas con NorteAmérica disponen de estas dos normas para garantizar en sus sistemas de información y procesos de negocio una certificación que les sitúe en un nivel de calidad exigible además en algunos casos por sus empresas matrices. Es el caso de alguna multinancionales y entidades financieras con acciones en Europa Y Estados Unidos
SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El trabajo de AUDITORIA SAS consiste en una revisión centralizada por parte de un auditor independiente (“auditor del servicio”) de los servicios tercerizados y está diseñada para proveer información a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios. Básicamente, es una comunicación “de auditor a auditor”.
Su alcance es sobre «control interno de la organización», que puede abarcar y de hecho abarca procesos internos referentes a clientes, recursos humanos, operaciones, etc.
ISO/IEC 27001:2005 es una norma internacional para IMPLANTAR UN SISTEMA DE GESTIóN DE SEGURIDAD DE LA INFORMACIóN (SGSI). El objetivo es implantar una serie de procedimientos y controles para asegurar la gestión de la seguridad de la información en el ALCANCE que se defina: ACTIVOS DE LA ORGANIZACIóN QUE SON SUSCEPTIBLES DE IMPLEMENTAR MEDIDAS, PROCEDIMIENOS Y GESTIóN PARA MINIMIZAR EL RIESGO DERIVADO DE SU FALTA DE INTEGRIDA, CONFIDENCIALIDAD Y DISPONIBILIDAD. Nó sólo implica activos IT sino otros (papel, recursos humanos, etc.
Su alcance y objetivo es mucho más concreto y definido y es completamente abierto pro la organización. Depende de sus objetivos de «seguridad». Abarca desde aspectos técnicos a aspectos organizativos y legales. Por ejemplo es la forma con «mayor calidad» para hacer el «legal compliance» en el ámbito de las TICS.
CERTIFICACIÓN
EN SAS 70 NO SE CERTIFICA SISTEMA DE GESTIóN. El auditor «da una nota» sobre el alcance la norma en un informe que se entrega a terceros, su «stakeholder», pero no existe certificado reconocido al exterior, NO HAY ESQUEMA DE CERTIFICACIóN ESPAÑOL. Sólo un «auditor reconocido por la AICPA podría realizar este trabajo.
ISO 27001 se certifica sobre certification bodies como TüV, Applus+, AENOR, SGS, etc. acreditadas a su vez por esquemas de acreditación reocnocidos mundialmente.
Por otra parte indicar que ISO 27001 no puede ser utilizada en AUDITORÍA DE ESTADOS FINANCIEROS. Sólo sería esta certificación y punto de calidad o aseguramiento de la misma
INTEGRACIÓN DE AMBAS NORMAS. PUNTO CLAVE
En la implantación de ISO 27001 se pueden abarcar una serie de controles «extras». La norma ISO 27002 marca que sobre un análisis de riesgos previo se evaluen cuales se implantan sobre el abanico de 133 controles existentes. Pero éstos se pueden ampliar con otros requerimientos de la organización, como cumplimiento de leyes sectoriales como SoX o Basilea II (sector financiero-bancario). Por lo tanto los requerimientos de por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA pueden ser incluidos en una implantacion y auditoría de ISO 27001:2005. Para ello es necesario contar con consultores y auditores conocedores de estos requerimientos y orientar la implantación y certificación en un doble escenario normativo.
Fuente: IT360
Notas del autor:
Agunas organizaciones con propiedad mercantil en los EEUU o relaciones comerciales directas con NorteAmérica disponen de estas dos normas para garantizar en sus sistemas de información y procesos de negocio una certificación que les sitúe en un nivel de calidad exigible además en algunos casos por sus empresas matrices. Es el caso de alguna multinancionales y entidades financieras con acciones en Europa Y Estados Unidos
SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El trabajo de AUDITORIA SAS consiste en una revisión centralizada por parte de un auditor independiente (“auditor del servicio”) de los servicios tercerizados y está diseñada para proveer información a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios. Básicamente, es una comunicación “de auditor a auditor”.
Su alcance es sobre «control interno de la organización», que puede abarcar y de hecho abarca procesos internos referentes a clientes, recursos humanos, operaciones, etc.
ISO/IEC 27001:2005 es una norma internacional para IMPLANTAR UN SISTEMA DE GESTIóN DE SEGURIDAD DE LA INFORMACIóN (SGSI). El objetivo es implantar una serie de procedimientos y controles para asegurar la gestión de la seguridad de la información en el ALCANCE que se defina: ACTIVOS DE LA ORGANIZACIóN QUE SON SUSCEPTIBLES DE IMPLEMENTAR MEDIDAS, PROCEDIMIENOS Y GESTIóN PARA MINIMIZAR EL RIESGO DERIVADO DE SU FALTA DE INTEGRIDA, CONFIDENCIALIDAD Y DISPONIBILIDAD. Nó sólo implica activos IT sino otros (papel, recursos humanos, etc.
Su alcance y objetivo es mucho más concreto y definido y es completamente abierto pro la organización. Depende de sus objetivos de «seguridad». Abarca desde aspectos técnicos a aspectos organizativos y legales. Por ejemplo es la forma con «mayor calidad» para hacer el «legal compliance» en el ámbito de las TICS.
CERTIFICACIÓN
EN SAS 70 NO SE CERTIFICA SISTEMA DE GESTIóN. El auditor «da una nota» sobre el alcance la norma en un informe que se entrega a terceros, su «stakeholder», pero no existe certificado reconocido al exterior, NO HAY ESQUEMA DE CERTIFICACIóN ESPAÑOL. Sólo un «auditor reconocido por la AICPA podría realizar este trabajo.
ISO 27001 se certifica sobre certification bodies como TüV, Applus+, AENOR, SGS, etc. acreditadas a su vez por esquemas de acreditación reocnocidos mundialmente.
Por otra parte indicar que ISO 27001 no puede ser utilizada en AUDITORÍA DE ESTADOS FINANCIEROS. Sólo sería esta certificación y punto de calidad o aseguramiento de la misma
INTEGRACIÓN DE AMBAS NORMAS. PUNTO CLAVE
En la implantación de ISO 27001 se pueden abarcar una serie de controles «extras». La norma ISO 27002 marca que sobre un análisis de riesgos previo se evaluen cuales se implantan sobre el abanico de 133 controles existentes. Pero éstos se pueden ampliar con otros requerimientos de la organización, como cumplimiento de leyes sectoriales como SoX o Basilea II (sector financiero-bancario). Por lo tanto los requerimientos de por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA pueden ser incluidos en una implantacion y auditoría de ISO 27001:2005. Para ello es necesario contar con consultores y auditores conocedores de estos requerimientos y orientar la implantación y certificación en un doble escenario normativo.
Fuente: IT360
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!