Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar las cookies" para disfrutar de esta web con todas las cookies, o configura tus preferencias antes de aceptarlas.

Gestión de Cookies
Consultoría  /  ISO/IEC 27001 Extensión ISO/IEC 27701 - Sistemas de Gestión de Seguridad de la Información y Gestión de Información de Privacidad

ISO/IEC 27001 Extensión ISO/IEC 27701 - Sistemas de Gestión de Seguridad de la Información y Gestión de Información de Privacidad

Descripción

La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal. La Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ella. 

Más particularmente, la información de privacidad o los datos de carácter personal son recursos de cualquier organización que requieren una protección adecuada a fin de garantizar la privacidad y el derecho a la intimidad de las personas de las que tratemos sus datos, y a fin de cumplir con los requisitos legales que sean de aplicación, siendo de especial relevancia, en este sentido, el Reglamento Europeo de Protección de Datos (RGPD) que establece un marco normativo común en el ámbito europeo, de obligado cumplimiento para todas las organizaciones que traten datos de carácter personal.

La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino de cualquier tipo de organización, siendo especialmente útil en aquellos sectores donde la información manejada sea crítica, contegna datos de carácter personal, o se manejen grandes volúmenes de información.

Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida de reputación, incumplimiento de la normativa de protección de datos, etc.

Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, Analizar, Evaluar, y Gestionar los riesgos de seguridad de la información a los que se enfrenta mi organización, y tomar las medidas técnicas, organizativas y legales necesarias, usando para ello la norma ISO/IEC 27001. Adicionalmente, la extensión ISO/IEC 27701 para gestión de la información de privacidad, proporciona los mecanismos necesarios para una protección adecuada de los datos de carácter personal, alineada con los requisitos legales que sean de aplicación.

Estas normas no establecen requisitos absolutos para la gestión de riesgos de seguridad de la información y la protección de la información de privacidad, pero sí son el medio más eficaz de minimizar estos, al asegurar que son identificados, evaluados y gestionados, considerando el impacto para la organización, y adoptando los controles y procedimientos más eficaces y coherentes con la estrategia de negocio, y permite, además, evidenciar una proactividad por parte de las organización en cuanto al cumplimiento de la normativa de protección de datos.

La ISO/IEC 27001 y la ISO/IEC 27701 especifican las medidas y controles de seguridad, con el fin de proteger todo aquello que es importante para la organización, sus activos y la información que estos manejan, con indicación especial a las medidas adecuadas para la protección de la información de privacidad, de manera alineada a la normativa de protección de datos (RGPD).

En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27001:2013 Extensión ISO/IEC 27701:2019

Ventajas para la ORGANIZACIÓN

  • El LIDERAZGO imprescindible de la alta dirección;
  • La consideración del CONTEXTO como factor estratégico;
  • Identificación de ACTIVIDADES DE TRATAMIENTO
  • Identificación de LEGITIMACIÓN en el tratamiento de datos personales
  • EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave,
  • EVALUACIÓN DE IMPACTO EN LA PRIVACIDAD en los casos que sea necesario o requerido por la normativa
  • MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la información;
  • DEFINICIÓN DE RESPONSABILIDADES en materia de seguridad de la información (considerando en los casos necesarios la figura del DELEGADO DE PROTECCIÓN DE DATOS)
  • Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, controle de red y criptográficos;
  • Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el INTERCAMBIO de la información.
  • Asegurar el cumplimiento de los derechos de los afectados en cuanto al tratamiento de sus datos (acceso, rectificación, cancelación, información,...)
  • Disponer de CONTRATOS DE CONFIABLIDAD con los empleados;
  • Formalización de ACUERDOS CON PROVEEDORES que incluyan requisitos de seguridad;
  • Cumplimiento con la LEGISLACIÓN APLICABLE en materia de protección de datos personales;
  • USO DE SOFTWARE con licencias;
  • GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información;
  • La importancia de la gestión desde el punto de vista seguridad de la información debe comunicarse dentro de la organización, la TOMA DE CONCIENCIA Y EL COMPROMISO de todas las personas es imprescindible para que el sistema funcione;
  • Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la seguridad de la información;
  • PRESERVACIÓN DE LA CONTINUIDAD de los recursos de formación, realización de pruebas.

EJEMPLOS de Acciones Prácticas a Implementar

  • Realización del análisis de riesgos de seguridad de la información.
  • Realización de Evaluación de Impacto en la privacidad.
  • Desarrollo del Registro de Actividades de Tratamiento de datos personales
  • Formalización de contratos de confidencialidad y de tratamiento externo de datos con los empleados y proveedores.
  • Formalización de acuerdos prestación de servicio.
  • Nombramiento del Delegado de Protección de Datos y otras responsabilidades de seguridad.
  • Desarrollo de textos informativos para el cumplimiento del derecho de información.
  • Desarrollo de mecanismos para la atención al ejercicio de los derechos de los afectados.
  • Uso de credenciales de acceso a las instalaciones para visitantes.
  • Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos biométricos, etc.
  • Uso de dispositivos de alimentación interrumpida.
  • Uso de controladores de temperatura CPD.
  • Uso de licencias legales.
  • Realización de planes de continuidad
  • Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, etc.
  • Política de gestión de contraseñas.
  • Limitar la utilización de usuarios genéricos y los permisos de administración.
  • Restringir los puertos USB a puestos determinados.
  • Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los dispositivos móviles
  • Instalación de Firewalls, VPN.
  • Controlar y prohibir el acceso remoto hacia la propia organización.
  • Limitar la navegación a páginas de ciertos contenidos y Sistemas de Detección de Intrusos.
  • Realización de copias de seguridad.
  • Segmentación de redes y conexiones seguras.
  • Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada.
  • Uso certificado digitales para el intercambio de información.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Ventajas para la ORGANIZACIÓN

Las organizaciones que implementan un Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001:2013, disponen de una gran flexibilidad a la hora de documentar la información, y como no, notan su impacto en los clientes y en la gestión de la organización:

  • Ayuda a conocer y gestionar de forma adecuada la información crítica de la empresa.
  • Ayuda al cumplimiento de las normativas de protección de datos, reduciendo la posibilidad de infracciones o sanciones derivadas de la misma.
  • Permite evidenciar una adecuada gestión y proactividad en cuanto al cumplimiento de la normativa de protección de datos y al respecto a la privacidad de las personas.
  • Facilita una gestión adecuada de los riesgos relativos a accesos no autorizados, robo, fraude, error humano, mal uso de instalaciones y equipos, etc, que pudieran afectar a la confidencialidad, disponibilidad e integridad de los activos de la empresa.
  • Logra la eficiencia en sus procesos, gracias a la sistematización, aplicación de mejora continua, evaluaciones, apreciación y tratamiento del riesgo, aplicación de controles -administrativos, técnicos,  y organizativos-, necesarios para minimizar los riesgos asociados a la gestión de la información.
  • Proporciona los mecanismos y controles para la protección de los activos de la empresa.
  • Garantiza la preservación adecuada de la información de nuestros clientes, proveedores, y de la propia organización.
  • Ayuda a gestionar de forma segura la información crítica y sensible de nuestros clientes, garantizando que se establecen todos los controles necesarios para su preservación. 
  • Conformidad con la legislación y reglamentación.
  • Mejora en la percepción interna y externa de la organización.
  • Control de los proveedores.
  • Reducción de fallos y errores al integrar el riesgo en la gestión preventiva y de mejora.
  • Garantiza la continuidad de la empresa, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial.
  • Consolidan su cartera de clientes, los clientes ven que su información es protegida y manejada de forma segura.
  • Aumentan el número de clientes nuevos; el efecto llamada del cliente satisfecho unido a la mejora de la imagen de la organización que el certificado de seguridad de la información proporciona.
  • Solvencia empresarial, por disponer de un sistema que garantiza la confidencialidad, integridad y disponibilidad de la información.

Ventajas para los CLIENTES

  • Gestión de forma segura de la información crítica y sensible de nuestros clientes, garantizado que se establecen todos los controles necesarios para su preservación.
  • Confianza de los clientes en cuanto a la gestión de su información de privacidad y al respeto a sus derechos al honor, intimidad y privacidad.
  • Mantenimiento de la integridad y disponibilidad de la información de los clientes según sus necesidades
  • Garantía de los derechos de los afectados en cuanto al tratamiento de sus datos (acceso, rectificación, cancelación, información,...)

Ventajas para el MERCADO

  • Empresas comprometidas con la seguridad de la información, que garantizan una adecuada gestión de la información con la que trabajan.
  • Elemento distintivo frente a la competencia.
  • Imágen de empresa comrpometida con la protección de la privacidad.
  • Garantía a terceros del cumplimiento de la normativa de protección de datos.

Sectores de APLICACIÓN

La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal. La Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ella. 

Más particularmente, la información de privacidad o los datos de carácter personal son recursos de cualquier organización que requieren una protección adecuada a fin de garantizar la privacidad y el derecho a la intimidad de las personas de las que tratemos sus datos, y a fin de cumplir con los requisitos legales que sean de aplicación, siendo de especial relevancia, en este sentido, el Reglamento Europeo de Protección de Datos (RGPD) que establece un marco normativo común en el ámbito europeo, de obligado cumplimiento para todas las organizaciones que traten datos de carácter personal.

La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino de cualquier tipo de organización, siendo especialmente útil en aquellos sectores donde la información manejada sea crítica, contegna datos de carácter personal, o se manejen grandes volúmenes de información.

Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida de reputación, incumplimiento de la normativa de protección de datos, etc.

Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, Analizar, Evaluar, y Gestionar los riesgos de seguridad de la información a los que se enfrenta mi organización, y tomar las medidas técnicas, organizativas y legales necesarias, usando para ello la norma ISO/IEC 27001. Adicionalmente, la extensión ISO/IEC 27701 para gestión de la información de privacidad, proporciona los mecanismos necesarios para una protección adecuada de los datos de carácter personal, alineada con los requisitos legales que sean de aplicación.

Estas normas no establecen requisitos absolutos para la gestión de riesgos de seguridad de la información y la protección de la información de privacidad, pero sí son el medio más eficaz de minimizar estos, al asegurar que son identificados, evaluados y gestionados, considerando el impacto para la organización, y adoptando los controles y procedimientos más eficaces y coherentes con la estrategia de negocio, y permite, además, evidenciar una proactividad por parte de las organización en cuanto al cumplimiento de la normativa de protección de datos.

La ISO/IEC 27001 y la ISO/IEC 27701 especifican las medidas y controles de seguridad, con el fin de proteger todo aquello que es importante para la organización, sus activos y la información que estos manejan, con indicación especial a las medidas adecuadas para la protección de la información de privacidad, de manera alineada a la normativa de protección de datos (RGPD).

En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27001:2013 Extensión ISO/IEC 27701:2019

Solicitud de Información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Antonio Gaudí y Cornet, nº 113 Nave 1 (Esquina Benjamín Franklin) P.I. Roces C.P. 33211 Gijón (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.


Marcando esta casilla, acepta el tratamiento de sus datos en los términos indicados, con la finalidad de cumplir con el servicio solicitado, y confirmo haber leído y aceptado la Política de Privacidad de INTEDYA. (*) Aceptación Obligatoria

Marcando esta casilla, además, acepta el tratamiento de sus datos para el envío de Newsletter, o información sobre nuestros productos o servicios.
Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.

Reconocimientos y participación

StaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Titulaciones conjuntas con la Universidad de San JorgeMiembros del Pacto Mundial de las Naciones UnidasMiembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International EducationAlianza con Prevensystem