NMX-I-27001 / ISO/IEC 27001-1:2005

Es un estándar diseñado para la gestión de la seguridad de la Información. Proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de Organización: pública o privada, grande o pequeña.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la Organización.

A quién aplica

Organizaciones que procesen o manejen información:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Enviada por correo o algún otro medio electrónico.
• Mostrada en videos corporativos.
• Verbal (expresada en conversaciones).

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través de medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 20000, ISO 9001, ISO 14001, etc…).
• Continuidad de las operaciones de negocio necesarias tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la Organización.
• Reducción de costes y mejora de los procesos y servicios.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad con base en la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
• Ventajas competitivas de certificar su Sistema de Gestión de Seguridad de la Información con NYCE:
• Acceder a la certificación a un corto accesible.
• Contar con auditores expertos en el tema, profesionales y con visión crítica y objetiva.
• Recibir las auditorías con auditores que conocen el mercado mexicano.

Ventajas competitivas de certificar su Sistema de Gestión de Seguridad de la Información con NYCE:

• Acceder a la certificación a un corto accesible.
• Contar con auditores expertos en el tema, profesionales y con visión crítica y objetiva.
• Recibir las auditorías con auditores que conocen el mercado mexicano.

Solicitud

El proceso inicia cuando una organización interesada en la certificación de su Sistema de Gestión de Tecnología de la Información ingresa su solicitud a NYCE. En el formato diseñado para tal efecto, la Organización proporciona la información que se requiere de ella para que NYCE pueda cotizar el servicio específico.

El costo del servicio depende de factores como el tamaño de la Organización, número de empleados involucrados en el Sistema de Gestión de Tecnología de la Información, tipo de producto o servicio y alcance de la certificación, entre otros. Cada caso se trata particularmente.

• Solicitud de servicio de certificación de sistemas de gestión

 

ir a Menu

Revisión Documental

Posteriormente se procede a la revisión documental, la cual consiste en que NYCE verifique la existencia de un Sistema de Gestión de Tecnología de la Información que, a nivel de documentos, cumpla con la norma con la cual pretende certificarse.

Se realiza una revisión exhaustiva de la documentación de la Organización, entre otros documentos relacionados. Obtenidos los resultados, el usuario tendrá un plazo de 30 días para, en su caso, hacer las correcciones pertinentes y someter su documentación a una nueva revisión por parte de NYCE.

ir a Menu

Auditoría Etapa 1

Esta auditoría tiene como objeto:

• Evaluar la documentación del Sistema de Gestión de TI de la Organización (Procedimientos de Gestión).
• Evaluar las condiciones de la ubicación y los sitios específicos de la Organización y llegar a acuerdos con el personal de la misma con el fin de determinar su grado de preparación para la realización de la auditoría Etapa 2.
• Revisar el estado del usuario y su entendimiento de los requisitos de la norma, particularmente lo relativo a la identificación del desempeño clave o aspectos, procesos u objetivos relevantes y la operación del SGC.
• Recolectar la información necesaria respecto al alcance de la certificación, los procesos y ubicaciones de la Organización y los aspectos legales y/o reglamentarios relacionados y su cumplimiento. Por ejemplo, aspectos de calidad, ambientales, legales, los riesgos asociados, etc.
• Revisar la asignación de los recursos y acordar con la Organización los detalles para la auditoría Etapa 2.
• Definir un enfoque preciso para la planificación de la auditoría de Etapa 2, a través de obtener un entendimiento suficiente del SGC de la Organización y de sus operaciones en el contexto de posibles aspectos significativos.
• Evaluar si las auditorías internas y la revisión por la Dirección de la Organización han sido planificadas y llevadas a cabo y si el nivel de implantación del SGC ofrece una confianza adecuada de que la misma está lista para la auditoría de Etapa 2.

Los tiempos de auditoría para esta etapa se definen en la tabla GR1ASC y deberán considerarse las notas de la misma para cualquier ajuste de dicho tiempo.

ir a Menu

Auditoría Etapa 2

Una vez que la Organización define que su Sistema de Gestión de TI cumple con la Norma NMX-I-143 / ISO/IEC 20000:2005 de referencia, haciendo los ajustes necesarios generados de los posibles hallazgos durante la auditoría de Etapa 1, debe notificarlo a NYCE, para que, en coordinación con nuestro departamento de Certificación de Sistemas de Gestión, se lleve a cabo la auditoría de certificación en la fecha acordada.

Por su parte, NYCE hará entrega de un informe por escrito de cada etapa de la auditoría de certificación, donde se encuentran los resultados de la misma, así como las posibles No Conformidades detectadas, para lo cual la Organización dispondrá de un plazo de 30 días para presentar a NYCE las acciones correctivas. En cualquier etapa del proceso la Organización también tendrá el derecho de apelar las decisiones tomadas.

ir a Menu

Emisión del Certificado

La información recabada en la auditoría será presentada por NYCE a la Comisión Técnica de Certificación, la cual es la responsable de dictaminar las certificaciones.

Lo anterior asegura que NYCE otorgue certificaciones bajo el más estricto proceso de profesionalismo y transparencia.

Una vez obtenida la certificación, la Organización deberá firmar una Carta Compromiso del Cumplimiento del Reglamento de Uso de Marca, el cual se anexa al certificado de Sistemas de Gestión.

El Certificado identifica:

• Nombre y dirección de la Organización.
• Norma de referencia, bajo la cual se certificó el sistema.
• Vigencia (3 años a partir de la fecha de emisión, la cual puede modificarse de existir reformas a la norma).
• Alcance de la Certificación.
• Fecha de emisión.
• Fecha de vencimiento.

Auditoría de vigilancia

De acuerdo a lo establecido en la Ley Federal sobre Metrología y Normalización, como organismo de certificación acreditado, NYCE, A.C. vigilará el continuo cumplimiento del Sistema de Gestión de TI de la Organización con los requisitos de la norma de referencia, realizando de forma anual o semestral auditorías de vigilancia, según lo dictamine la Comisión Técnica de Certificación y/o como se haya definido en el contrato de prestación de servicios.

Renovación o Recertificación

Antes de finalizar los 3 años de vigencia del certificado, el Sistema de Gestión de TI de la Organización deberá ser sometido a una nueva auditoría total, con el fin de conservar la certificación.

ir a Menu