Nuevo servicio de acreditación INTE/ISO/IEC 27001:2023
La norma INTE/ISO/IEC 27001:2023 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos, busca la adopción de un sistema de gestión de seguridad de la información como una decisión estratégica para una organización. El establecimiento y la implementación de un sistema de gestión de seguridad de la información de una organización están influenciados por las necesidades de la organización y los objetivos, requisitos de seguridad, los procesos organizacionales utilizados y el tamaño y la estructura de la organización.
Es importante que el sistema de gestión de seguridad de la información sea parte y esté integrado con los procesos de la organización y la estructura general de gestión y que la seguridad de la información sea considerada en el diseño de procesos, sistemas de información y los controles. Se espera que una implementación de un sistema de gestión de seguridad de la información será escalada de acuerdo con las necesidades de la organización.
Dicha certificación puede ser ahora respaldada por organismos de certificación de sistemas de gestión, acreditados con ECA bajo la norma INTE ISO IEC 17021- 1:2015, así como la norma ISO/IEC 27006:2015/Amd.1:2020(E) Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que brindan auditoría y certificación de sistemas de gestión de seguridad de la información.
La apertura de dicho servicio responde a las necesidades de nuestros clientes y del mercado nacional.
La acreditación de los OEC en este servicio garantiza que disponen de personal competente y procesos de evaluación adecuados para evaluar que las organizaciones disponen de un Sistema de Gestión que brinda seguridad de la información, preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que los riesgos se gestionan adecuadamente.
Los requisitos de la norma son genéricos y son aplicables a todas las organizaciones, independientemente del tipo, tamaño y naturaleza de la actividad, ya sea en los sectores público, privado o sin fines de lucro.
Si su OEC desea acreditarse en este servicio puede encontrar más información, así como formularios de solicitud en la sección de “Documentos” de nuestra página web, puede consultar:
- ECA-MP-P04-F09 Solicitud de Acreditación para OCSG I y A.
- ECA-MP-P04-F35 Tabla para el llenado de alcance por subesquema.
- ECA-MP-P02 Requisitos para la acreditación.
- ECA-MC-C05 Criterios para la evaluación de la Norma 17021-1
El OEC debe cumplir con:
Los OCSG que se acrediten para certificar bajo la norma INTE/ISO 27001 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos, en su versión vigente, les será obligatorio el cumplimiento expreso de todos los requisitos dispuestos en la norma ISO/IEC 27006 en su versión vigente
Con la transición de la norma a su versión 2022, IAF emitió el IAF MD 26:2023 Requisitos de transición para ISO/IEC 27001:2022 Número 2. Sin embargo, ECA, no brindaba el servicio antes de la transición, por lo que el OCSG que desee acreditarse para este alcance debe hacerlo bajo la nueva normativa. Por otro lado, los OCSG:
- El OEC tiene hasta el 31 de octubre 2025 para terminar la transición de todos clientes en esta nueva versión de norma.
- El OEC tiene hasta 30 de abril 2024 para prepararse y empezar a ofrecer sus servicios de auditorías iniciales y de recertificación con la nueva versión de la norma.
No existe un Documento mandatorio específico a este esquema para los OCSG, sin embargo, aplican los documentos mandatorios generales que sea aplicables, ejemplo MD 1, MD 2, MD 4, entre otros, establecidos en este criterio.
En cuanto al alcance de acreditación, este esquema no trabaja bajo sectores, subsectores o clústers, por lo que el alcance se regirá bajos los siguientes lineamientos:
Esquema de Certificación | Alcance |
Esquema para la certificación de Sistemas de Gestión de la Seguridad de la Información – SGSI | INTE/ISO/IEC 27001 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos. ISO/IEC 27006 Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que realizan auditorías y certificaciones de sistemas de gestión de seguridad de la información. |