Comunicamos a nuestros lectores que gracias a la sugerencia de algunos de ustedes, retomamos el acuerdo con la organización GTDI con la finalidad de poner a vuestra disposición dos seminarios claves para mantener un liderazgo entre los profesionales del sector y a dictarse en los próximos días, el primero corresponde al borrador de la nueva edición de la norma sobre auditoría de los requisitos de la ISO/IEC 27001, mientras que el segundo es sobre la norma Privacy Information Management Systems (PIMS). Así, creemos que es importante mantener una ventaja competitiva conociendo las tendencias y orientaciones de las normas que serán publicadas el segundo semestre del presente año. Los interesados, pueden con la debida anticipación, solicitar su inscripción al 265 0066 / 265 5936 o escribirnos a informes@americasistemas.com.pe.
Nuevas normas ISO relacionadas con T.I. rumbo a publicarse en 2019
El conocimiento de estas normas es clave para mantener un liderazgo entre los profesionales del sector, por tener de primera mano una aproximación a las normas desde parte de su desarrollo, conociendo sus cambios y participando de un debate de alto nivel de especialidad sobre la orientación que están tomando.
(americasistemas.com.pe. Lima, Perú – 08 de mayo 2019) ISO 22301, ISO/IEC 27007 e ISO/IEC 27552 son tres de las normas que serán publicadas por ISO en el segundo semestre del presente año, corresponden a las actualizaciones de las primeras dos y una nueva norma sobre privacidad y protección de datos personales que puede cerrar la brecha entre Seguridad de la información y resguardo de la privacidad.
ISO DIS 22301 (Actualización)
Bajo la nomenclatura de ISO DIS 22301, se ha publicado el primer borrador de la norma de requisitos para sistemas de gestión de continuidad de negocios.
Con 26 páginas, el documento incorpora un conjunto de cambios en comparación a su edición anterior, pero estos cambios no son de fondo, clarifica los requisitos lo que facilita su integración con otros sistemas de gestión ISO.
En forma paralela, ISO 22313 “Security and Resilience — Business Continuity Management Systems — Guidance” también avanza en el desarrollo de su segunda edición, entrando en la etapa DIS.
Entre las modificaciones podemos citar:
El cambio en el nombre de la norma producto del cambio en el TC 292, que ha pasado de “Societal Security — Business Continuity Management Systems — Requirements” a “Security and Resilience — Business Continuity Management Systems — Requirements”.
La definición de continuidad del negocio se alinea con la ISO 22300.2018, “Capacidad de una organización para continuar entregando productos y servicios dentro de periodos de tiempo aceptable en la capacidad predefinida relacionada con una interrupción”.
– La cláusula 4.1 se reduce
– Las cláusulas 5.1 y 5.2 se unen y quedan como 5.1
– Se agrega una cláusula 6.3 “Planificación de cambios al SGCN”
– La cláusula 8.3 cambia a “Estrategias y soluciones de continuidad de negocios”
– La cláusula 8.4 cambia a “Establecer e implementar procedimientos de continuidad de negocios”
– La cláusula 8.5 cambia a “Programa de ejercicios”
– La cláusula 9.1.2 cambia a “Evaluación de planes, procedimientos y capacidades de continuidad de negocios”
ISO/IEC DIS 27007 (Actualización)
Con 41 páginas, el documento incorpora un conjunto de cambios en comparación a su edición anterior, en especial lo necesario para alinearse con la última edición de ISO 19011:2018 Guidelines for auditing management systems, publicada en julio del 2018.
Entre las modificaciones podemos citar:
– Alineación con la norma ISO 19011: 2018;
– En la cláusula 5.1.1, todo el texto ha sido eliminado;
– En la cláusula 5.2.1, el artículo anterior b) ha sido eliminado;
– En la cláusula 5.3, todo el texto ha sido eliminado;
– En la cláusula 5.5.2.1, el artículo anterior b) ha sido eliminado;
– En la cláusula 6.5.2.1, el primer párrafo ha sido eliminado y la NOTA ha sido redactada nuevamente.
Esta norma es de particular interés para los responsables o equipos que realizan auditoría interna a los SGSI y es aplicable a auditoría de primera, segunda y tercera parte, alineándose con los requisitos de la cláusula 9.2 de ISO/IEC 27001:2013.
ISO/IEC DIS 27552 (Nueva)
Con la publicación del primer borrador DIS de la futura ISO/IEC 27552, contamos con un documento público formal que nos permite reconocer el avance en temas de privacidad en los que el ISO JTC1/SC27 continúa trabajando.
Con 72 páginas este borrador de un nuevo estándar internacional aborda requerimientos y recomendaciones adicionales a las normas ISO/IEC 27001 e ISO/IEC 27002 ( sistemas de gestión de seguridad de la información y código de practica de controles de seguridad de la información ) para incorporar aspectos específicos referidos a privacidad, transformando el Sistema de gestión de seguridad de la información en un nuevo Sistema de Gestión de Información sobre Privacidad (Privacy Informatión Management Sistem – PIMS).
El resultado de la aplicación de ISO/IEC 27552 será la transformación de un SGSI en un PIMS (Privacy Information Management Sistem) que aporte valor a la organización no solo en la protección de la información organizacional sino en el cumplimiento de sus responsabilidades sobre privacidad, tanto si se trata de un titular de banco de datos personales o un encargado de tratamiento.
Un PIMS implementado con base en ISO/IEC 27001 e ISO/IEC 27552 gestiona la información de las personas y la privacidad, entendiendo por privacidad la información relacionada con los aspectos íntimos de las personas, elevando los niveles de cumplimiento normativo y generando confianza para son las personas involucradas en las actividades de la organización (Clientes, usuarios, proveedores, colaboradores, etc).
Alineado con la estructura de alto nivel para sistemas de gestión (HLS) incluido en el Anexo SL de las directivas de ISO, podemos integrar el PIMS con otros sistemas de gestión ISO (como ISO9001, ISO/IEC 20000-1, ISO55001, ISO 14001, etc) y pretende ser implementado por organizaciones de cualquier tamaño, sector o tipo.
Concluyendo
Finalmente, debemos recordar que estos documentos aun están en proceso de desarrollo por lo que no se recomienda su aplicación exacta (por la posibilidad de que sufra cambios significativos hasta su etapa de publicación final como estándar internacional), pero son de alto valor para los profesionales que buscan mantenerse a la vanguardia y que están pendientes de los cambios en las normas que utilizan.
De nuestro expositor
Se trata de Carlos A. Horna Vallejos, profesional técnico con 20 años de experiencia en el sector T.I. y 10 años en normalización nacional e internacional. Actualmente es miembro del comité técnico de normalización nacional en EDI y ha participado en la publicación de las NTP-ISO/IEC 27001:2014, NTP-ISO/IEC 27002:2017, NTP-ISO/IEC 27004:2018, NTP-ISO/IEC 27005:2018, NTP-ISO/IEC 27017:2018, entre otras.