Cambios en la nueva ISO 27001 2013 Draft (II)
Las acciones correctivas y preventivas
Uno de los cambios más importante es que ya no hay medidas preventivas, por lo menos no a primera vista. Básicamente, se fusionaron en la evaluación del riesgo y el tratamiento, al que naturalmente pertenecen.Además, se hace una distinción entre las correcciones que se hacen como una respuesta directa a una "no conformidad", en oposición a las acciones correctoras que se realizan para eliminar la causa de una no conformidad. De esta manera se resuelve una ambigüedad de la norma anterior.
Comunicación
Aquí también hay un nuevo apartado en donde se resumen los requisitos de lo que hay que comunicar, cuándo, por quién y por qué medios. Esto ayudará a superar el problema de que la seguridad de la información es sólo una "cosa de IT" o una "cosa de seguridad". El éxito de la seguridad de la información depende tanto de TI como del negocio, y su comprensión general sobre el propósito de la protección de la información.¿Qué significará esto para la implementación?
La nueva norma ISO 27001 parece que será más fácil de integrar con otras normas de gestión como ISO 9001, ISO 22301, ISO 20000 y también deja una mayor libertad para las empresas (especialmente las pequeñas) para escalar el SGSI a sus necesidades reales y así evitar una sobrecarga innecesaria. Pero esto también puede llegar a ser la mayor debilidad de esta nueva norma: a causa de sus definiciones sueltas, algunas empresas pueden tratar de centrarse en la satisfacción de los requisitos mínimos en lugar de centrarse en aumentar la seguridad.En otras palabras, para las empresas que tienen buenas intenciones y realmente quieren aumentar su nivel de seguridad será más fácil cumplir la norma.
Fuente: ISO 27001 Standard
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!