Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Clase 21 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 min - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 min - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
08:27 min - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 min - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 min - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54 min
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 min - 12
Clasificación de Activos de Información en Excel
11:46 min - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
11:40 min - 14
Clasificación de Activos de Información en Excel
06:29 min - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 min - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 min - 17
Controles para Mitigar Riesgos según ISO 27001
07:27 min - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 min - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 min - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 min - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Viendo ahora
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
- 31
Auditoría de Sistemas de Seguridad según ISO 27001
09:16 min - 32
Terminología de Auditoría según ISO 27001
08:32 min - 33
Fases de una Auditoría: Paso a Paso para su Ejecución
14:15 min - 34
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
09:47 min - 35
Reporte de No Conformidades en Auditoría ISO 27001
10:42 min
Gestión de la Continuidad del Negocio
Cierre del curso
En este punto del curso, es importante mencionar un documento de alta relevancia dentro de la norma ISO 27001 y es la Declaración de Aplicabilidad o también conocido como SoA (SoA por las siglas en inglés de Statement of Applicability). Este documento puede encontrarse en el formato que más le convenga a una organización ya que la norma no tiene un formato preestablecido; lo relevante está en su contenido, que en general debe incluir los objetivos de control y controles seleccionados de la norma, las razones por las cuales han sido seleccionados y las medidas de seguridad adicionales cuando aplique.
La Declaración de Aplicabilidad en la ISO 27001 es un documento generado a partir del análisis de riesgos realizado. Sin embargo, es importante mencionar que si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí o sí deben elaborar una Declaración de Aplicabilidad.
No obstante, así la intención de la organización no sea obtener la certificación, es importante aclarar que la Declaración de Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.
Una vez que se han definido las opciones de tratamiento para los riesgos, la organización debe aplicar medidas de seguridad, es decir, decidir de qué manera serán mitigados los riesgos. Es en este punto cuando se desarrolla la Declaración de Aplicabilidad, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operando o todavía no.
Para concluir, te puedo decir que la Declaración de Aplicabilidad en la norma ISO 27001 se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A (114 controles) que has decidido aplicar o implementar dentro de tu Sistema de Gestión de Seguridad de la Información.