Foro: Gestión de los datos personales. Cumplimiento de la LOPD

ISO 27000 y 27001

  • consultor
    • 5/05/10 12:02
    • Imagen de consultor
    • Reg.: 15/03/10
    • Posts: 4
    (23/4)
    alguien podria ayudarme y decirme donde puedo encontrar documentada la normativa 27000 y 27001,ya que pronto tendre que implantarlo en varias empresas,gracias por la ayuda que me puedan dar.
  • Invitado
    • 5/05/10 14:49
    • Imagen de Invitado
    • Reg.: ?
    • ?
    • Posts: ?
    (4/0)

    Independientemente de que alguien te la pueda pasar, te recomiendo que la compres, pues seguro, (muy seguro), en la auditoría van a comprobar que la comrpaste. Si podés comprala en formato PDF es más práctica para que todos tengan acceso.

  • Antonio Silva Campos
    • 8/05/10 0:36
    • Imagen de Antonio Silva Campos
    • Reg.: 5/08/08
    • Distrito Federal
    • Posts: 3
    (2/0)

    Creo es muy sano el comentario anterior, esta norma la puedes adquirir en mexico en www.bsigroup.com.mx en caso que tu pais sea otra la puedes comprar via web en  http://shop.bsigroup.com/en/SearchResults/?q=ISO%2027001

     Adicional te sera de utilidad la ISO 27005 de gesti[on de riesgos.

     Saludos!

    _________________
    Antonio Silva.
  • serlobo
    • 21/12/10 18:28
    • Imagen de serlobo
    • Reg.: 4/09/09
    • Posts: 142
    (0/1)

    pero chicos, yo porque no la tengo y realmente tambien la necesito, no quiere decir que la quiera implantar y por ello no se va a gastar un dinero que no veo licito puesto que todo el mundo deberia tener acceso a las normas y no el negocio que hacen con la venta y que sea original. que mas da si el sistema esta bien implantado que la norma sea original es increible hasta donde llega la sociedad y el abuso a la empresa.

     

    por ello vuelvo a solicitar si alguien es capaz de proporcionarme la iso 27001/ 2005 y las normas relacionadas con la seguidad de la información.

     

    Asi se puede estudiar y despues si se va a certificar pues ya tendremos que ser los perritos de siempre y hacer lo que nos dicen.

    Bueno lo dicho agradeceria que alguien me la pueda facilitar para uso de estudio y no implantación

     

    gracias a todos

     

  • Gilberth Araujo
    • 22/12/10 4:58
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (1/0)

    Hasta donde tengo entendido la norma ISO 27000 es un vocabulario para los SGSI y no ha sido publicada, al menos que yo sepa(por favor saquenme de mi ignorancia si ya no es asi).

    Las que han sido mas difundidas desde el 2005 para acá es la ISO/IEC 27001 que establece los requisitos para implementar un SGSI  que es consistente con las mejores prácticas descritas en ISO/IEC 17799  que actualmente es  ISO/IEC 27002

    En el siguiente enlace encontrarán la ISO/IEC 27001 y la ISO/IEC 27002 precisamente pra fines didácticos.

    Aquí van los enlaces:

    ISO/IEC 27001

    http://www.megaupload.com/?d=9XN527E0

    ISO/IEC 27002

    http://www.megaupload.com/?d=DK2A6W9U

     

    Sería interesante que compartieran su expericia (trabajos académicos, proyectos, etc) con relación a éstas normas, pues genrealmente las aplicaciones que he conocido no han sido tan difundidas como la ISO 9001

    Saludos

     

    Gilberth

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Wilbert Arturo Vivas Torrez
    • 22/12/10 21:38
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2568
    (1/0)

    La norma ISO/IEC 27000 fue publicada el 30 de abril del 2009, en el siguiente enlace podrás encontrar  información sobr ella.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Gilberth Araujo
    • 22/12/10 21:48
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    Ok...

     

    Sabes de algún organismo que ya lo haya homologado en español?

     

    Sabéis que por entreveradas causas, a veces conveniente tenerlo en su idioma natal

     

    Saludos

     

    Gilberth

     
    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Wilbert Arturo Vivas Torrez
    • 22/12/10 22:17
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2568
    (0/0)

    No se de qué pais escribes, pero aquí en México la norma no está homologada al español, pero corresponde al NYCE su elaboración como NMX.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Gilberth Araujo
    • 23/12/10 5:57
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    Estoy en Venezuela y según me indicaron tampoco se ha homologado aquí.

    Posiblemente la tenga AENOR.

    Si algún distinguido miembro del foro sabe algo, se agradece la información, me interesa de sobremanera esta norma.

     

    Saludos

     

    Gilberth

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Laia1
    • 20/09/11 12:06
    • Imagen de Laia1
    • Reg.: 16/09/11
    • Posts: 4
    (0/0)

    Soy nueva en esta norma..me gustaría saber si es requisito indispensable cumplir la LOPD para poder certificarse en 27001???

    o cabe la posibilidad de que me den el certificado si no cumplo con la LOPD

  • Wilbert Arturo Vivas Torrez
    • 20/09/11 16:33
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2568
    (1/0)
    Laia1 escribió:

    Soy nueva en esta norma..me gustaría saber si es requisito indispensable cumplir la LOPD para poder certificarse en 27001???

    o cabe la posibilidad de que me den el certificado si no cumplo con la LOPD

    La ISO/IEC 27001 es un sistema que tiene como principales objetivos mantener la confidencialidad, integridad y disponibilidad de los datos que considere importantes (activos) y debes cumplir los requisitos legales en este aspecto, la LOPD va directamente relacionada a esto y por ser Ley es obligatoria independientemente del sistema que contengas. Veo dificil sino imposible que te certifiques tu sistema bajo esta norma sin cumplir las leyes relacionadas a la protección de datos.

     

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • One Economic&Quality Consulting
    • 21/09/11 0:50
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)
    Como bien te dice Wilbert el cumplimiento de la LOPD en España es obligatorio independientemente de si certificas o no, pero ten en cuenta que los sistemas certificados ISO uno de sus criterios siempre es el cumplimiento legal.
    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Gilberth Araujo
    • 21/09/11 6:41
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/1)

     

     

    Leia1

     

    A lo largo de la implementación del SGSI te darás cuenta que no es posible cumplir con los requisitos de norma sin cumplir con los requisitos de ley, pues fundamentalmente la norma fue creada, entre otras cosas, para facilitar a las organizaciones para cumplir con los requisitos regulatorios

    En la norma hacen especial referencia en:

     

    1.1. Alcance

     

    Dice que el SGSI para aplicar controles que protejan los activos de información y den confianza a las partes interesadas.

     

    Entre las partes interesadas está el estado que establece las regulaciones en materia de SI a las organizaciones

     

    Más adelante dice

    1.2 Aplicación

    No se pueden hacer exclusiones de controles que afecten la capacidad y/o responsabilidad de la organización para que satisfaga SI que satisfaga los requerimientos de seguridad determinados por la evaluación de riesgo y los requerimientos reguladores aplicables.

     

    Aquí hace mención directa al cumplimiento con los requerimientos reguladores, es decir, que tiene una premisa de que si hay requerimientos reguladores aplicados a la seguridad de la información no deberías excluir los controles relacionados con el mismo.

     

    3.16 enunciado de aplicabilidad

     

    Se refiere a la definición del objetivo del control en el que puede estar referido, entre otros fines, a cumplir con requerimientos legales o reguladores,

     

    4.2.1 b) 2) establece que la política de seguridad de la información debe incluir, entre otros el cumplimiento con requisitos legales o reguladores

     4.2.1 c) 1) establece la valuación de los riesgos asociados con el cumplimiento de los requerimientos legales o reguladores

      4.2.1 g) En la selección de controles debes incluir los que permitan cumplir los requisitos legales o reguladores

    5.2.1 Provisión de Recursos

    Identificar y tratar los requisitos legales y reguladores entre otros.

     

    7.3 Resultados de la revisión gerencial

     

    Establece revisar los cambios en los requerimientos legales o reguladores

     

    En los controles encontraras constantemente los que se refieren a los requisitos legales.

     

    En fin, cada vez las normas nos están indicando que debemos atender los requisitos legales, ya casi es imposible cumplir con la norma sin hacer revisión en el marco legal y realizar las acciones pertinentes para darle cumplimiento de forma sistemática y sustentable.

     

     

     

     

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Laia1
    • 21/09/11 9:13
    • Imagen de Laia1
    • Reg.: 16/09/11
    • Posts: 4
    (0/0)

    Gracias a todos por responder..es lo que yo pensaba...sólo lo preguntaba porque me he encontrado un caso de una empresa certificada en 27001 y que no cumplia la LOPD, no tenia ningún fichero registrado en la agencia...... me dijeron que estaban en proceso, yo pensaba que eso era incompatible.

     

    De nuevo gracias a todos

  • Gilberth Araujo
    • 21/09/11 17:09
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    Leia 1

     

    Esto suele suceder, y se puede atribuir a varias causas como

     

    a) El cumplimiento de la LOPD no formó parte de las muestras seleccionadas por el(los) auditor (es)

    b) La senda de la auditoría no llevó al auditor a verificar el cumplimiento con estos requisitos

    c) El  auditor no tenía las competencias necesarias para verificar el cumplimiento para el momento de la auditoría

    d) El organismo de certificación contrata auditores de otros países donde no necesariamente se conozca el marco legal de tu país.

     

    De todas formas el que otro incumpla un requisito legal no justifica que tú no lo hagas.

     

    Saludos,

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Wilbert Arturo Vivas Torrez
    • 21/09/11 17:15
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2568
    (1/0)
    Gilberth escribió:

    d) El organismo de certificación contrata auditores de otros países donde no necesariamente se conozca el marco legal de tu país.

     

    Esto plantea una duda, ¿son realmente confiables los OC?, cómo puedes auditar si no tienes el mínimo conocimiento de los requisitos aplicables en el país u organización donde estás trabajando.

    Espero los puntos de vista de ustedes. 

    Saludos 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • albertojhr
    • 11/09/19 16:03
    • Imagen de albertojhr
    • Reg.: 11/09/19
    • Posts: 2
    (0/0)
    Saludos desde Peru

    Una consulta, es posible aplicar a la certificacion ISO 27001 enfocada en el sistema core de la empresa, de hecho que hay mas sistemas, pero el que contiene la informacion vital y sobre el cual se deben cumplir normas y leyes es sobre el cual queremos plantear dicha certicacion.
    agradezco me orienten en el tema
    Saludos
  • Gilberth Araujo
    • 11/09/19 16:48
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)
    De hecho sucede con mucha frecuencia Wilbert.

    Ahora mismo se esta viviendo con la ISO 37001 en la que no hay reglamento de acreditación por el IAF, pero hay OC que entregan certificaciones sin acreditación.

    La garantía que tiene el certificado no es más que la palabra del OC.

    Wilbert Arturo Vivas Torrez escribió:
    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • Gilberth Araujo
    • 11/09/19 16:53
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    albertojhr escribió:
    Saludos desde Peru

    Una consulta, es posible aplicar a la certificacion ISO 27001 enfocada en el sistema core de la empresa, de hecho que hay mas sistemas, pero el que contiene la informacion vital y sobre el cual se deben cumplir normas y leyes es sobre el cual queremos plantear dicha certicacion.
    agradezco me orienten en el tema
    Saludos



    La definición del alcance de un SGSI no depende sólo del (los) sistema(s) que tenga la organización, se deben analizar los activos de información dependientes, las ubicaciones físicas, los activos auxiliares, etc.

    Hace poco hice un webinar al respecto, lo puedes ver a continuación:

    Saludos

    Gilberth
    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • albertojhr
    • 11/09/19 20:07
    • Imagen de albertojhr
    • Reg.: 11/09/19
    • Posts: 2
    (0/0)
    gracias por responder, si entiendo que va mas alla del sistema, pero puede centrarse en todas esas necesidades vinculadas a ese sistema de informacion?
    La idea es decir que ese sistema de informacion, core del negocio tiene ISO 27001, que asegura la confidencialidad y la integridad de los datos; pero no necesariamente otros sistemas de informacion de la organizacion.

    Voy a escuchar el webinar, si tienes algun comentario sobre lo que planteo te agradezco
  • Gilberth Araujo
    • 11/09/19 22:04
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    albertojhr escribió:
    gracias por responder, si entiendo que va mas alla del sistema, pero puede centrarse en todas esas necesidades vinculadas a ese sistema de informacion?
    La idea es decir que ese sistema de informacion, core del negocio tiene ISO 27001, que asegura la confidencialidad y la integridad de los datos; pero no necesariamente otros sistemas de informacion de la organizacion.

    Voy a escuchar el webinar, si tienes algun comentario sobre lo que planteo te agradezco


    Efectivamente, el alcance lo puedes definir sólo a un sistema de información (como activo), no obstante debes revisar algunos aspectos importantes como lo son la infraestructura que lo soporta, si haces desarrollo, dónde están alojadas las bases de datos. Finalmente uno puede limitar cuanto "quiera" un sistema de gestión (como pasa con las normas de sistemas de gestión de la ISO), pero es importante que la definición sea consistente con los activos de información que son relevantes para el negocio. Los alcances en la ISO/IEC 27001 normalmente están referidos a un grupo de activos que se usan para una línea de negocio y haciendo referencia a una declaración de aplicabilidad con una versión específica.

    Saludos,
    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica