Binaryminds: Proceso de certificación de la norma ISO/IEC

El proceso de solicitud de una auditoria en nuestra empresa para certificarnos en esta norma, requiere tener implementado un SGSI. Pero ¿que es SGSI?

Este vídeo nos puede dar una idea acerca de este concepto.

http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/index.html

La certificación de una empresa bajo la norma ISO/IEC - 27001 la realizara una entidad certificadora y acreditada. Esta norma exige que el SGSI de una empresa tenga un periodo de funcionamiento de al menos tres meses, ademas este debe cumplir con todas las especificaciones necesarias, como por ejemplo:

* Inventario de todos los activos de información.

* Identificación de amenazas, vulnerabilidades e impactos.

* Plan de tratamiento de riesgos.

* Monitoreo constante y registro de todas las incidencias.

* Mejora continua del SGSI.

Para cumplir completamente estos requerimientos, lo mas aconsejable es integrar varios sistemas, como por ejemplo ISO 9001 - ISO 14001.

Cuando el SGSI esta implementado comienza el proces de auditoria y certificación, que consta de los siguientes pasos:

* Solicitud de auditoria.

* Respuesta por parte de la entidad certificadora.

* Asignar auditores y realizar un cronograma.

* Pre-auditoria.

* análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente.

* revisar en el sitio las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto.

* Certificación.

* Auditoría de seguimiento.

* Auditoría de re-certificación (Cada tres años).

Si durante la auditoria se descubren "no conformidades graves", la organización debera corregirlas; Este proceso se repite hasta que no se encuentre ninguna "no conformidad grave".

Según el registro internacional ISMS, actualmente en Colombia existen 11 organizaciones certificadas bajo la norma ISO/IEC - 27001