Certificación según ISO 27001

Certificación según ISO 27001:2014

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2014, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

La norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2015 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2015, hasta el punto de tener el mismo indice de norma basandose en la denominada estructura de alto nivel Anexo SL siendo totalmente integrable.

El esquema de auditoria y certificación es muy similar al empleado en otras normas ISO de distintas familias.




  • Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
  •  Respuesta en forma de oferta por parte de la entidad certificadora.
  • Compromiso.
  • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
  • Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
  • Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
  • Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
  • Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
  • Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

Aspectos clave y de éxito en la implantación de la ISO 27001

            La siguiente tabla resume aquellos puntos capitales en la consecución de un Sistema de Gestión de Seguridad de la Información eficiente y práctico.

           PUNTOS BÁSICOS           FACTORES DE ÉXITO

Compromiso y apoyo de la Dirección de la organización.

La concienciación del empleado por la seguridad.
Principal objetivo a conseguir.
Definición clara de un alcance apropiado. Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.
Concienciación y formación del personal. Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).
Evaluación de riesgos exhaustiva y adecuada a la organización. La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
Compromiso de mejora continúa. La seguridad no es un producto, es un proceso.
Establecimiento de políticas y normas. La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.
Organización, comunicación e integración del SGSI en la organización. La seguridad debe ser inherente a los procesos de información y del negocio.

Riesgos de la implantación de un sistema de gestión de seguridad de la información.

En este articulo se ha pretendido dejar una idea clara de los beneficios de la implantación de un Sistema de Gestión de Seguridad de la Información y también incluir un listado de los principales riesgos y obstáculos a los que se puede tener que enfrentarse al abordar un proyecto de esta índole.

A continuación citamos los más comunes:

  • Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.
  • Temor ante el cambio: resistencia de las personas implicadas o circundantes al proyecto.
  • Discrepancias en los comités de dirección. Faltas de acuerdo entre el equipo de gerencia y los demás miembros que pueden entorpecer el desarrollo del SGSI.
  • Delegación de todas las responsabilidades en departamentos técnicos, con la consiguiente (y grave) falta de implicación del departamento Gerente.
  • No asumir que la seguridad de la información es inherente a los procesos de negocio. Intuir el SGSI como un ente “ajeno”o “paralelo” al resto de procesos de la organización
  • Planes de formación y concienciación inadecuados.
  • Calendario de revisiones que no se puedan cumplir.
  • Definición poco clara del alcance dificultando todo el proceso del SGSI.
  • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Debe asumirse que la Seguridad de la Información atañe (aunque en diferente grado) a toda la Organización.
  •  Falta de comunicación de los progresos al personal de la organización. Resulta de vital importancia hacer partícipe a la organización de la evolución de nuestro Sistema para aumentar la implicación y facilitar la formación sobre el mismo.

Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información

Puntúe el artículo

MaloPobreNormalBuenoExcelente (No existen Votos, Puntúa el primero)
Cargando...

El autor

Admin Gestion-Calidad.com

Consultor-Auditor en Sistemas Integrados de Gestión y Conformidad de Producción

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.