Foro: Otros sistemas de gestión

ISO/IEC 27001 - ISO/IEC 20000

  • Reno
    • 18/11/11 20:39
    • Imagen de Reno
    • Reg.: 23/02/10
    • México
    • Posts: 22
    (1/0)

    Que tal amigos.

    Me comunico con ustedes para ver quien me podría compartir su opinion y experiencia en este tema.

    En el área de Informática estamos Certificados bajo la norma ISO 9001:2008 y queremos iniciar con un proceso de capacitación al personal; ya sea en 27001 o en 20000 para despues Certificarnos.

    ¿Cual de dichas normas me recomiendan para iniciar con la mejora de nuestros procesos técnológicos?

    La intención podría ser que ambas las implementaramos, pero cual de ellas es más recomendable para iniciar; ya que somos nuevos en ambos temas; y nos gustaría aprovechar al máximo los recursos con los que disponemos.

    De antemano muchas gracias por sus opiniones y comentarios.

    Saludos. 

  • serlobo
    • 18/11/11 21:18
    • Imagen de serlobo
    • Reg.: 4/09/09
    • Posts: 142
    (0/0)

    Buenas Reno,

    En mi experencia depende del objetivo de gerencia a la hora de implantar un sistema de gestión.

    Por mi experiencia solo conozco la ISO 27001 que la he implantado en una empresa de consultoría que trataba datos confidenciales de clientes.

    Esta ISO es muy interesante para establecer procedimientos de seguridad de la información que existe en una empresa, y es muy exigente en cuanto a este sentido ya que con el control del enunciado de aplicabilidad ya se consigue mejorar muchisimo la seguridad de los datos.

    Con respecto a la ISO 20000 la desconozco, ya que solo la he estudiado teoricamente y al fin y al cabo pretende controlar la calidad de los servicios de TI.

    Asi que antes de todo debeis determinar si buscais la calidad por seguridad o por servicios.

    saludos

  • JLEON
    • 18/11/11 21:31
    • Imagen de JLEON
    • Reg.: 18/11/11
    • Posts: 3
    (0/0)

    Hola

    0- "Debe" existir apoyo de la dirección, alta gerencia o de sus inversores.

    1- Validar los beneficios de cada una de las certificaciones, su relación con los objetivos de los procesos criticos (que dan valor) de la organización y que las certificaciones satisfagan en gran medida los objetivos de la estrategia de la organización. por ejemplo: realizar un analisis real y exaustivo de los riesgos asociados a su operación. su análisis les orientara en el camino a tomar.

    2- El foco de cada una de las normas que mensionas son complementarias, se debe tener buen conocimiento de la aplicabilidad de cada una de ellas, dado que la 20000-1 menciona (tiene un apartado de seguridad de la información - Nota) la 27001. (esta ultima es mucho mas exigente)

    3- La aplicación de cada una de ellas requiere un gran esfuerzo (tiempo, personas y economico), contar con iso 9001, vale, ayuda para la definición y soporte documental requerido por las dos normas.

    4- Da respuesta a si tu sistema de gestión ya cuenta con PCN (plan de continuidad de negocio), plan de capacidad. area de apoyo interno y externo al cliente (help desk , service desk) que metodolgia apoyan su operación. centros alternos. etc. (esto es mucho mas que solo documentación)

    5- Selecciona e incluye personal capacitado, con "experiencia" en implantación en cada una de las normas, la 9001 es un buen apoyo, no es obligatorio - solo es recomendado.

    6- identifica buenas fuentes de información, por ejemplo: www.iso27000.es

    7- no menos importante, entrenate y a tu equipo de trabajo en Itil, fundamental si el core de tu empresa son las TI´s y los servicios asociados.

    Cordialmente 

    Javier Villarraga

    Especialista en Sistemas de Gestión de la Calidad, Procesos, Seguridad de la Información e Innovación. 

    Certificado:Itil v3, Lead Auditor 9001, Lead Auditor ISO27001

  • JLEON
    • 18/11/11 22:06
    • Imagen de JLEON
    • Reg.: 18/11/11
    • Posts: 3
    (0/0)

    Preguntate:

    - cual es el alcance de la ISO9001, si tiene relación con la gestión de servicios de tecnologia y/o seguridad de la información! ¿Es diferente?

    - buscas asegurar la información tuya y/o la de tus clientes? y es vital el valor de posibles fugas de información?- ISO 27K

    - buscas reducir, estandarizar y alcanzar buen cumplimiento en tus acuerdos de nivel de servicio . ANS (SLA + OLA) - ISO 20K

    - buscas tener y cumplir con planes de recuperación, alta disponibilidad, (ISO27K +ISO2OK)

    - buscas mejorar la eficacia de tu operación en TI (KPI) - ISO20K

    - de tus principales competidores en el mercado, que tienen, que no tienen. (en cuanto a certificaciones)

    - que quieren y que necesitan tus clientes

    Crea una lista de tus criterios, ponle un peso, compara que norma se relaciona mas con tus necesidades y hayas la respuesta. 

    Puede que al final sean las dos normas necesarias, tener presente el costo de mantener los tres certificados y no tres sistemas (me hago entender).

    Cordialmente 

    Javier Villarraga

    Especialista en Sistemas de Gestión de la Calidad, Procesos, Seguridad de la Información e Innovación. 

    Certificado:Itil v3, Lead Auditor 9001, Lead Auditor ISO27001

  • JLEON
    • 18/11/11 22:13
    • Imagen de JLEON
    • Reg.: 18/11/11
    • Posts: 3
    (0/0)

    Complemento, para aclarar en algo, que la ISO 27001 busca asegurar no solo los datos, entre otros:
    las aplicaciones, el pesonal, los servicios, la tecnología (Servidores, redes y todos sus componentes), las instalaciones (fisicas), el equipamiento auxiliar (equipos de destrucción de datos, equipos de climatización)., los proveedores . . . (todo! lo que sea de valor para tu organización).

  • Reno
    • 22/11/11 17:34
    • Imagen de Reno
    • Reg.: 23/02/10
    • México
    • Posts: 22
    (0/0)

    Muchas gracias a todos por sus comentarios.

    Me srivieron mucho para orientarme.

    Saludos.