ISO 27001: declaración de aplicabilidad

Curso de Preparación para la Certificación en la Norma ISO 27001

Introducción a la norma ISO 27001

Qué aprenderás sobre la norma ISO 27001

Historia de la norma ISO27001

Principios generales de la seguridad de la información

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

Términos y definiciones

¿En qué consiste la ISO27001?

Liderazgo y planificación

Soporte, operación, evaluación y mejora

Introducción al anexo A

Últimos elementos del anexo A

Gestión de Riesgos

Clasificación de los activos de información

Inventario de activos de información

Laboratorio: construyendo una matriz de activos de información

Finalizar la revisión de la matriz de activos de información

Niveles de riesgo

Tratamiento de riesgo

Los controles

Laboratorio: construyendo una matriz de riesgos

Revisión de los controles y mapa de calor de la matriz de riesgos

Las tres líneas de defensa

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

Política de seguridad de la información y gestión de activos

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Seguridad física y del entorno, de las operaciones y las comunicaciones

Seguridad de las operaciones

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

Requisitos de seguridad en sistemas de información

Laboratorio: aplicar una lista de verificación

Relación con proveedores

Cumplimiento

Auditoría

¿Qué es auditoría?

Términos de la auditoría

Fases de una auditoría

Resultados de la auditoría

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

BCP, BIA, RTO y RPO

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

Simulacro del examen de certificación para Auditor Interno ISO 27001

Conclusiones y cierre del curso

En este punto del curso, es importante mencionar un documento de alta relevancia dentro de la norma ISO 27001 y es la Declaración de Aplicabilidad o también conocido como SoA (SoA por las siglas en inglés de Statement of Applicability). Este documento puede encontrarse en el formato que más le convenga a una organización ya que la norma no tiene un formato preestablecido; lo relevante está en su contenido, que en general debe incluir los objetivos de control y controles seleccionados de la norma, las razones por las cuales han sido seleccionados y las medidas de seguridad adicionales cuando aplique.

La Declaración de Aplicabilidad en la ISO 27001 es un documento generado a partir del análisis de riesgos realizado. Sin embargo, es importante mencionar que si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí o sí deben elaborar una Declaración de Aplicabilidad.

No obstante, así la intención de la organización no sea obtener la certificación, es importante aclarar que la Declaración de Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.

Una vez que se han definido las opciones de tratamiento para los riesgos, la organización debe aplicar medidas de seguridad, es decir, decidir de qué manera serán mitigados los riesgos. Es en este punto cuando se desarrolla la Declaración de Aplicabilidad, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operando o todavía no.

Para concluir, te puedo decir que la Declaración de Aplicabilidad en la norma ISO 27001 se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A (114 controles) que has decidido aplicar o implementar dentro de tu Sistema de Gestión de Seguridad de la Información.

Aportes 18

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

wilsonbarrera

hace 2 años

Saludos les comparto un ejemplo de declaración de aplicabilidad SOA ( o DDA en español) que lo encontré para que lo tengamos como modelo para nuestras futuras auditorias 😃

https://www.idu.gov.co/Archivos_Portal/Transparencia/Informacion de interes/SIGI/Sistema de seguridad de la informacion/2017/09 Septiembre/01 FO-TI-27 Formato Declaracion de Aplicabilidad V_1.0 - Diligenciado Dic2015.pdf

Teno SG

hace un año

sarthurio

hace 2 años

angelbeltran

hace 2 años

Hola compañeros,
tengamos también muy en cuenta que se presentan casos en los que ciertos controles no aplican a la organización , a esto se le conoce como exclusiones de control, los cuales deben justificarse de manera optima para indicarle al auditor del por que no se aplican.

por ejemplo, si la empresa no cuenta de ninguna manera con implementación de teletrabajo , entonces se debería excluir el siguiente control: A.6.2.2 | Teletrabajo
con su debida justificación.

Saludos