La organización mundial de estándares ISO (por sus siglas en
inglés), ha venido adelantando con una política que ofrece a la comunidad
mundial normas cada vez más sectoriales. Con el éxito obtenido con la
publicación de la norma ISO 9001:1987 y sus versiones posteriores, se vio la
necesidad de aplicar este modelo incluyendo requisitos específicos a cada
sector, así nacieron normas como ISO 16949 para el sector automotriz e ISO
22000 para el sector de alimentos entre otras.
El enorme avance de la tecnología con el desarrollo de los
computadores e internet ha generado la denominada segunda revolución
industrial: un gran avance en las tecnologías de la información y la
comunicación que han transformado las empresas de manera formidable.
ISO entonces genera varias normas para el sector de
Tecnologías de la Información y la comunicación Tic´s, las principales de ellas que son certificables,
son:
Norma
|
Nombre
|
Alcance
|
ISO 20000-1
|
Tecnología de la información.
Gestión del servicio. parte 1: requisitos del
sistema de gestión del servicio
|
Sistema de gestión del servicio incluye el diseño,
transición, prestación y mejora de servicios de TI
|
ISO 27001
|
Tecnología de la información.
Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Requisitos.
|
El sistema de gestión de la seguridad de la información preserva la
confidencialidad, la integridad y la disponibilidad de la información.
|
ISO 22301
|
Continuidad del Negocio.
Sistemas de gestión de continuidad del negocio.
Requisitos.
|
Sistema de gestión documentado para protegerse,
reducir la capacidad de ocurrencia, preparar, responder y recuperarse de los
incidentes perjudiciales que puedan surgir.
|
ISO 29110
|
Ingeniería de Software – Perfiles del Ciclo de Vida en Pequeñas
Entidades. Requisitos.
|
Sistema de gestión orientado a la calidad del desarrollo y
mantenimiento de software.
|
Según el informe de ISO a diciembre de 2015, algunas de las
empresas certificadas a nivel mundial en los modelos Tic´s son:
Número de empresas certificadas por país.
País
|
ISO 27001
|
ISO 20000-1
|
ISO 22301
|
Japón
|
8240
|
299
|
200
|
Reino Unido
|
2790
|
197
|
345
|
India
|
2490
|
425
|
480
|
China
|
2469
|
138
|
3
|
EEUU
|
1247
|
223
|
40
|
México
|
104
|
28
|
2
|
Colombia
|
103
|
17
|
0
|
Brasil
|
94
|
40
|
5
|
Argentina
|
52
|
6
|
0
|
Chile
|
32
|
11
|
6
|
Perú
|
22
|
10
|
1
|
Ecuador
|
6
|
1
|
0
|
Venezuela
|
1
|
0
|
0
|
No se tienen registros oficiales de la ISO 29110
ISO 20000-1:2011 Gestión
del servicio. parte 1: requisitos del sistema de gestión del servicio
La ISO 20000-1 es una aplicación de la norma ISO 9001 a los
servicios de tecnología. Su primera versión fue en el año de 2005, teniendo una
revisión en el año 2011. Esta norma aún no se acogió a lo establecido en el
anexo SL, por lo que no tiene la misma numeración de ISO 9001:2015 o ISO
27001:2013 o ISO 22301:2012.
La norma ISO 20000-1 incluye dentro de sus requisitos a las
normas ISO 27001 e ISO 22301:
El campo de aplicación de la norma ISO 20000-1 es:
“Esta parte de la
norma es sobre sistemas
de gestión del servicio (SGS).
Se especifican los
requisitos para que
un prestador del
servicio planifique, establezca,
implemente, opere, monitoree,
revise, mantenga y mejore un SGS. Los requisitos incluyen el diseño,
transición, prestación y mejora de los servicios para cumplir con los
requisitos de servicio. Esta parte de la norma puede ser utilizada:
a) por una
organización que busca
servicios de prestadores
de servicios y
exige la garantía de que se
cumplirán sus requisitos de servicio;
b) por una
organización que exige
un enfoque consistente
por parte de
todos sus prestadores de
servicios, incluyendo aquellos en la cadena de suministro;
c) por un prestador
de servicios que
pretende demostrar su capacidad
para el diseño, transición,
prestación y mejora de servicios que cumplen con los requisitos de servicio;
d) por un
prestador de servicios para monitorear,
medir y revisar sus procesos y
servicios en la gestión del servicio;
e) por un
prestador de servicios para mejorar el diseño, la transición y la prestación de
los servicios a través de la implementación
y la operación eficaces de un SGS;
f) por un
evaluador o auditor, como
criterio para una evaluación de la conformidad del
SGS de un prestador de servicios con los requisitos de esta
parte de la norma.”
Requisitos de ISO
20000-1
1.
OBJETO Y CAMPO DE APLICACIÓN
2. REFERENCIAS NORMAIVAS
3. TERMINOS Y DEFINICIONES
4. REQUISITOS GENERAL DEL SISTEMA DE GESTIÓN DEL SERVICIO
4.1 RESPONSABILIDAD DE LA DIRECCIÓN
4.2 GOBIERNO DE LOS PROCESOS OPERADOS POR OTRAS PARTES
GESTIÓN DE LA DOCUMENTACIÓN
4.3 GESTIÓN DE LA DOCUMENTACIÓN
4.4 GESTIÓN DE LOS RECURSOS
4.5 ESTABLECER Y MEJORAR EL SGC
5. DISEÑO Y TRANSICIÓN DE LOS SERVICIOS NUEVOS O MODIFICADOS
5.1 GENERALIDADES
5.2 PLANIFICAR LOS SERVICIOS NUEVOS O MODIFICADOS
5.3 DISEÑO Y DESARROLLO DE SERVICIOS NUEVOS O MODIFICADOS
5.4 TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS
6. PROCESO DE PRESTACIÓN DEL SERVICIO
6.1 GESTIÓN DEL NIVEL DE SERVICI0
6.2 PRESENTACIÓN DE INFORMES DEL SERVICIO
6.3 GESTIÓN DE LA CONTINUIDAD Y LA DISPONIBILIDAD DEL
SERVICIO
6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS
6.5 GESTIÓN DE LA CAPACIDAD
6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7. PROCESOS DE RELACIÓN
7.1 GESTIÓN DE LAS RELACIONES CON EL NEGOCI0
7.2 GESTIÓN DE LOS PROVEEDORES
8. PROCESOS DE SOLUCIÓN
8.1 GESTIÓN DE INCIDENTES Y SOLICITUDES DE SERVICIO
8.2 GESTIÓN DE PROBLEMAS
9. PROCESOS DE CONTROL
9.1 GESTIÓN DE LA CONFIGURACIÓN
9.2 GESTIÓN DEL CAMBIO
9.3GESTIÓN DE VERSIONES E IMPLEMENTACIONES
ISO 27001: 2013 Técnicas de seguridad. Sistemas de
gestión de la seguridad de la información.
La primera norma de sistema de gestión de la seguridad de la
información fue la ISO 17799:2005 Código de buenas prácticas para la gestión de
la seguridad de la información.
La ISO 27001 versión 2013 fue una de las primeras normas en
acogerse al anexo SL, (anexo que normaliza todas las normas) y que tiene 10
capítulos principales. La norma define su ámbito de la siguiente forma:
“Esta Norma ha sido elaborada para suministrar requisitos
para el establecimiento, implementación, mantenimiento y mejora continua de un
sistema de gestión de la seguridad de la información. La adopción de un sistema
de gestión de seguridad de la información es una decisión estratégica para una
organización. El establecimiento e implementación del sistema de gestión de la
seguridad de la información de una organización están influenciados por las
necesidades y objetivos de la organización, los requisitos de seguridad, los
procesos organizacionales empleados, y el tamaño y estructura de la
organización. Se espera que todos estos factores de influencia cambien con el
tiempo.”
“Es importante que el sistema de gestión de la seguridad de
la información sea parte de los procesos y de la estructura de gestión total de
la información de la organización y que esté integrado con ellos, y que la
seguridad de la información se considere en el diseño de procesos, sistemas de
información y controles. Se espera que la implementación de un sistema de
gestión de seguridad de la información se difunda de acuerdo con las
necesidades de la organización.”
Requisitos de ISO
27001
1.
OBJETO Y CAMPO DE APLICACIÓN
2. REFERENCIAS NORMAIVAS
3. TERMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS
PARTES INTERESADAS
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD DE LA INFORMAICÓN
5. LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
5.2 POLÍTICA
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA
ORGANIZACIÓN
6. PLANIFICACIÓN
6.1 ACCIONES PARA
TRATAR RIESGOS Y OPORTUNIDADES
6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS
7. SOPORTE
7.1 RECURSOS
7.2 COMPETENCIA
7.3 TOMA DE CONCIENCIA
7.4 COMUNICACIÓN
7.5 INFORMACIÓN DOCUMENTADA
8. OPERACIÓN
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
9. EVALUACIÓN DEL DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2 AUDITORÍA INTERNA
9.3 REVISIÓN POR LA DIRECCIÓN
10. MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.2 MEJORA CONTINUA
ISO 22301:2012
British Standards Institution, publicó la norma BS 25999 partes
1 y 2 para establecer la gestión de la continuidad de negocio en las
organizaciones, con base en esta norma en el año de 2012 se publicó la ISO
22301.
Continuidad de Negocio. Capacidad de la organización para
continuar con la entrega de productos o servicios a los niveles predefinidos
aceptables después de un evento perjudicial.
“Esta norma especifica los requisitos para la creación y
gestión de un Sistema de Gestión de
Continuidad de Negocio (BCMS, por sus siglas en inglés)
efectivo.
Un BCMS hace énfasis en la importancia de:
Entender las necesidades de la organización y la necesidad
de establecer una gestión de Continuidad de Negocio, sus objetivos y política.
Implementar y operar los controles y medidas para
administrar la capacidad general de una organización en responder a incidentes.
Hacer el seguimiento y revisión de la eficacia del BCMS
Mejorar continuamente basado en mediciones objetivas.
El BCMS, como todos los sistemas de gestión, contiene los
siguientes componentes claves:
a) Una
política;
b) Personas
con responsabilidades definidas;
c) Gestión de
los procesos relativos a:
1) Política,
2) Planeación,
3) Implementación y operación,
4) Evaluación de desempeño,
5) Análisis de la gestión, y
6) Mejoramiento.
d) Documentación
que proporcione evidencia auditable; y
e) Cualquier
proceso de gestión de la continuidad de negocio pertinente para la
organización.
La Continuidad de Negocio contribuye a una sociedad con
mayor resiliencia. La comunidad en general y el impacto del ambiente
organizacional en la organización y en otras organizaciones, podrían estar
involucrados en el proceso de recuperación.”
Requisitos de ISO
22301
1.
ALCANCE
2. REFERENCIAS NORMAIVAS
3. TERMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO
4.2 ENTENDIENDO LAS DE LAS NECESIDADES Y EXPECTATIVAS DE LAS
PARTES INTERESADAS
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN
4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD CONTINUIDAD DEL
NEGOCIO.
5. LIDERAZGO
5.1 GENERALIDADES
5.2 COMPROMISO DE LA ALTA DIRECCIÓN
5.3 POLÍTICA
5.4 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA
ORGANIZACIÓN
6. PLANIFICACIÓN
6.1 ACCIONES PARA
TRATAR RIESGOS Y OPORTUNIDADES
6.2 OBJETIVOS DE CONTINUIDAD DEL NEGOCIO Y PLANES PARA
LOGRARLOS
7. RECURUSOS
7.1 GENERALIDADES
7.2 COMPETENCIA
7.3 TOMA DE CONCIENCIA
7.4 COMUNICACIÓN
7.5 INFORMACIÓN DOCUMENTADA
8. OPERACIÓN
8.1 PLANIFICACIÓN Y CONTROL
8.2 ANÁLISS DE IMPACTO AL NEGOCIO Y VALORACIÓN DEL RIESGO
8.3 ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO
8.4 ESTABLECER E IMPLEMENTAR PROCEDIMIENTO DE CONTINUIDAD
DEL NEGOCIO
8.5 EJERCICIOS Y PRUEBAS
9. EVALUACIÓN DEL DESEMPEÑO
9.1 SEGUIMIENTO,
MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2 AUDITORÍA INTERNA
9.3 REVISIÓN POR LA DIRECCIÓN
10. MEJORA
10.1 NO CONFORMIDAD Y
ACCION CORRECTIVA
10.2 MEJORA CONTINUA
BILIOGRAFIA
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-1: 2012-12-12 TECNOLOGÍA DE LA
INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE
GESTIÓN DEL SERVICIO
INTERNACIONAL STANDARD
ISO/IEC 20000-1 2005-12-15
INFORMATION TECHNOLOGY – SERVICES MANAGEMENT. PART 1:
SPECIFICATION.
NORMA TÉCNICA COLOMBIANA
NTC-150-IEC 27001:2013-12-11 TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS
DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN. REQUISITOS
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 17799:2007
EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS
PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
NORMA TÉCNICA COLOMBIANA
NTC 5722: 2012-10-31 CONTINUIDAD DE NEGOCIO.
SISTEMAS DE GESTIÓN
DE CONTINUIDAD DE NEGOCIO. REQUISITOS
