ISO 9000 / 27001 / 27002 (International Organization for Standardization)

 

                                                                                    Raquel A González

             

ISO

    El Organismo Internacional de Normalización, ISO, (International Organization for Standardization), fue creado en 1.947 y cuenta con 91 estados miembros, que son representados por sus organismos nacionales de normalización

La ISO trabaja para lograr uno forma común de conseguir el establecimiento del sistema de calidad, que garantice la satisfacción de las necesidades y expectativas de los consumidores.

    A comienzos del año 1980 la ISO designó una serie de comités técnicos para que trabajaran en el desarrollo de normas comunes que fuesen aceptadas universalmente. El resultado de este trabajo fue publicado siete años más tarde a través del compendio de normas ISO 9000, posterior a la publicación de la norma de aseguramiento de la calidad-vocabulario (ISO 8402), que fue dada a conocer en 1986.

    El diario oficial de las comunidades europeas, el 28 de Enero de 1991, publicó una comunicación que fue también nombrada el Libro Verde de la normalización. Este importante documento no sólo fue un marco de referencia para Europa, sino también para las comunidades que negocian con ellos, como el caso de Mercosur, con esto se exige o sus proveedores que sean auditados y certificados bajo los lineamientos de la ISO 9000.

    La frecuencia que ISO estableció para la revisión y actualización de lo serie ISO 9000 fue de cinco años.

    La norma ISO 9000 

    Es un conjunto de normas industriales mundiales para la gestión de la calidad. Establece un punto de referencia amplio pero riguroso para mejorar la calidad de los productos y servicios en todos los sectores del mundo. Describen los fundamentos de los sistemas de gestión de calidad con el objetivo de mejorar los resultados de la organización.

La serie ISO 9000 es un conjunto de normas orientadas a ordenar la gestión de la empresa que han ganado reconocimiento y aceptación internacional debido al mayor poder que tienen los consumidores y a la alta competencia internacional acentuada por los procesos integracionistas. Algunas de estas normas especifican requisitos para sistemas de calidad (ISO 9001, 9002, 9003) y otras dan una guía para ayudar en la interpretación e implementación del sistema de calidad (ISO 9000-2, ISO 9004-1).

Antecedentes de las normas ISO 9000

La normalización internacional se realiza con base en un amplio criterio, no sólo se refiere a lo legislación comunitaria en moleña de productos o servicios, sino pretendiendo ser un método para asegurar la economía, ahorrar gastos, evitar el desempleo y garantizar el funcionamiento rentable de las empresas. Las organizaciones deben tener un sistema de calidad más eficiente cada día, que integre todas las actividades que pudieran afectar la satisfacción de las necesidades explícitas y tácitas de sus clientes.

Es por esta razón que surgió la necesidad de normalizar la forma de asegurar la calidad.

Objetivos de las ISO 9000

·           Proporcionar elementos para que una organización pueda lograr la calidad del producto o servicio, a la vez que mantenerla en el tiempo, de manera que las necesidades del cliente sean satisfechas permanentemente, permitiéndole a la empresa reducir costos de calidad, aumentar la productividad, y destacarse o sobresalir frente a la competencia.

·       Proporcionar a los clientes o usuarios la seguridad de que el producto o los servicios tienen la calidad deseada, concertada, pactada o contratada.

·           Proporcionar a la dirección de la empresa la seguridad de que se obtiene la calidad deseada.

·          Establecer las directrices, mediante las cuales la organización, puede seleccionar y utilizar las normas.

La norma ISO 9000 contiene las directrices para seleccionar y utilizar las normas para el aseguramiento de la calidad, es decir, es la que permite seleccionar un modelo de aseguramiento de calidad, entre las que se describen las ISO 9001/9002/9003.

La norma ISO 9004. establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad del producto, es decir, establece directrices para la gestión de la calidad.

La norma ISO 9004-2 establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad de los servicios, es decir, se refiere especialmente a los servicio.

Las normas ISO 9001/9002/9003 establecen requisitos de determinan que elementos tienen que comprender los sistemas de calidad, pero no es el propósito imponer uniformidad en los sistemas de calidad. 5on genéricas e independientes de cualquier industria o sector económico concreto.

Las tres normas tienen igual introducción y antecedentes, pero en lo referido a los requisitos del sistema encontramos diferencias. La primera diferencia es relativa al número de temas (ver tabla 1), y la segunda es ‘relativa a la exigencia. La más completa es la 9001. Mientras que la 9003 es la más escueta y sencilla.

Otra diferencia la encontramos en el objeto y campo de aplicación que detallamos a continuación:

·       ISO-9001: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en el diseño, desarrollo, producción, instalación y servicio posventa del producto suministrado, con la finalidad de satisfacer al cliente.

·       ISO-9OO2: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrata entre dos partes exige que se demuestre la capacidad de un proveedor en la producción, Instalación y servicie’ posventa del producto suministrado, con la finalidad de satisfacer al cliente.

·       ISO-9003: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en la inspección, y ensayos finales del producto suministrado, con la finalidad de satisfacer al cliente.

 

ISO 27001

    La ISO 27001 es una norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). Su objetivo es proporcionar un marco para la gestión de la seguridad de la información de una organización y proteger los activos de información contra amenazas como el robo, la destrucción o la manipulación de datos. 

     La norma ISO 27001 también es útil para garantizar la privacidad de la información y cumplir con las leyes y regulaciones aplicables.

    La norma ISO 27001 es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI).

     Este sistema se utiliza para proteger la confidencialidad, integridad y disponibilidad de la información. La norma proporciona un marco para la seguridad de la información que ayuda a las organizaciones a identificar y gestionar sus riesgos de seguridad de la información de manera efectiva.

 

Aplicabilidad de la norma ISO 27001

    La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo pequeñas y medianas empresas, grandes corporaciones, instituciones gubernamentales y sin fines de lucro. También se puede aplicar en cualquier sector, incluyendo tecnología de la información, finanzas, salud y servicios públicos.

 

Proceso de implementación de la norma ISO 27001

    El proceso de implementación de la norma ISO 27001 se divide en cuatro fases: planificación, implementación, evaluación y mejora continua.

Fase de planificación

    Durante la fase de planificación, la organización identifica sus requisitos de seguridad de la información y establece un plan para implementar el SGSI.

Fase de implementación

    La fase de implementación incluye la creación de políticas, procedimientos y controles para proteger la información.

Fase de evaluación

    Durante la fase de evaluación, la organización evalúa la eficacia de su SGSI e identifica áreas de mejora.

Fase de mejora continúa

    La fase de mejora continua implica la identificación y aplicación de mejoras a los procesos y controles del SGSI.

Una vez implementado y certificado, el SGSI debe ser revisado y actualizado regularmente para garantizar su continuo cumplimiento con los requisitos de seguridad de la información. La certificación ISO 27001, aunque no es obligatoria, también puede mejorar la imagen de la marca y la confianza de los clientes, ya que demuestra que la organización está comprometida con la protección de la información y esto lo acredita una entidad certificadora independiente.

Además, la norma ISO 27001 se puede integrar con otros estándares y marcos de referencia para lograr una gestión más completa y efectiva de la seguridad de la información en una organización. No obstante, es importante destacar que, aunque la norma ISO 27001 se puede integrar con estos estándares y marcos de referencia, cada uno tiene su propio enfoque y objetivos específicos.

Estructura de la norma ISO 27001

1. Introducción: Proporciona una descripción general de la norma, su propósito y su relación con otras normas y marcos de seguridad de la información.
2. Alcance: Describe el alcance de la norma y establece los límites de la aplicación del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Esto incluye la identificación de los activos de información que están cubiertos por la norma y las actividades, procesos y ubicaciones geográficas incluidas en el alcance.
3. Referencias normativas: Hace referencia a otras normas, leyes y regulaciones relevantes que deben ser consideradas en el diseño, implementación y mantenimiento del SGSI. Esto incluye normas internacionales de seguridad de la información como la ISO 27000, leyes de privacidad y protección de datos, regulaciones específicas de la industria y otros marcos de seguridad de la información.
4. Términos y definiciones: Proporciona definiciones claras de los términos y conceptos clave utilizados en la norma para garantizar una comprensión común de los requisitos.
5. Contexto de la organización: Describe los requisitos para comprender el contexto de la organización, incluyendo su estructura, objetivos, necesidades y expectativas de las partes interesadas. Esto ayuda a la organización a identificar y evaluar los riesgos y oportunidades relevantes para su SGSI.
6. Liderazgo: Establece los requisitos de liderazgo y compromiso de la alta dirección para el SGSI. Esto incluye la asignación de roles y responsabilidades, la comunicación de la política de seguridad de la información y el establecimiento de objetivos y planes de mejora continua.
7. Planificación: Describe los requisitos para planificar el SGSI, incluyendo la identificación y evaluación de riesgos y oportunidades, la definición de objetivos y requisitos de seguridad, la selección de controles de seguridad y la elaboración de planes de implementación.
8. Soporte: Establece los requisitos para los recursos necesarios para implementar y mantener el SGSI, incluyendo el personal, la infraestructura y los recursos financieros. También incluye requisitos para la competencia, la toma de conciencia y la comunicación en la organización.
9. Operación: Describe los requisitos para la implementación y operación del SGSI, incluyendo la gestión de riesgos, la seguridad de la información, el control de acceso, la continuidad del negocio y otros controles de seguridad. También se incluyen requisitos para la documentación y el control de los registros.
10. Evaluación del desempeño: Establece los requisitos para monitorizar, medir, analizar y evaluar el desempeño del SGSI. Esto incluye la realización de auditorías internas, revisiones de gestión y evaluaciones de la conformidad con la norma. También se incluyen requisitos para la mejora continua del SGSI.

ISO 27002

Por otro lado, la ISO 27002 proporciona directrices para la implementación de controles requeridos en un SGSI en una organización. La norma ISO 27002 se enfoca en las medidas de seguridad necesarias para proteger la información y cubre una amplia gama de áreas, como la gestión de riesgos, la seguridad física, la seguridad de la red y la seguridad de la información.

Diferencias entre la ISO 27001 y la ISO 27002

La principal diferencia entre la ISO 27001 y la ISO 27002 es que la primera es una norma de requisitos, mientras que la segunda es una norma de guía. La ISO 27001 establece los requisitos que debe cumplir un SGSI para que sea efectivo, mientras que la ISO 27002 proporciona directrices sobre cómo implementar los controles necesarios para cumplir con esos requisitos, específicamente aquellos enlistado en el Anexo A de ISO/IEC 27001.

Fuente

Carlos López

Administrador de Empresas, Universidad Nacional de Colombia. Fundador de www.gestiopolis.com

 Wikipedia

https://www.gestiopolis.com/las-normas-iso-9000/

 https://www.globalsuitesolutions.com/es/riesgos-empresariales-iso-31000/.