9001
Páginas: 9 (2218 palabras)
Publicado: 21 de agosto de 2014
Similitud entre ISO 9001 y BS 7799-2
Por Dr. David Brewer y Dr. Michael Nash, Gamma Secure Systems Limited
Introducción
El Anexo C de BS 7799-2:2002 [1] describe las similitudes entre dicha norma y otros estándares de sistemas de gestión que se ajustan a la Guía ISO 72 [2].
Uno de ellos es ISO 9001 [3]. Sin embargo, creemos
que la correspondencia es mucho más próxima de lo
inicialmentepensado. Esta es una conclusión importante para aquellas organizaciones que están considerando la creación de un sistema de gestión (SG) integrado, p. ej., un único SG que cumpla con más de una
norma de sistemas de gestión.
En este documento, describimos BS 7799-2:2002 en
términos de un marco “PDCA” y un “SOA”. PDCA
significa
Plan-Do-Check-Act
[Planificar-HacerVerificar-Actuar], tambiénconocido como ciclo Deming, y es el marco global requerido por [2]. SOA
significa Statement of Applicability [declaración de
aplicabilidad] y es una lista de controles de seguridad
de la información que pueden ser, o no, aplicables a
una organización. Fue adoptado en la primera edición
(1999) del estándar como un modo de enlazar con el
código de prácticas ya existente que el nuevo estándar
estabadiseñado para evaluar. Después, describimos la
estructura de ISO 9001 y explicamos cómo puede ser
refundida para que se corresponda exactamente con la
estructura de BS 7799-2:2002. En nuestra conclusión,
recurrimos a un caso de estudio de una organización
con un SG integrado, certificado en ambos estándares, que ha aplicado con éxito los conceptos descritos
en este documento.
BS7799-2:2002
BS 7799-2:2002 es una especificación de un Sistema
de Gestión de la Seguridad de la Información (SGSI).
En breve, será promovida a la condición plena de Estándar Internacional y será publicada como ISO/IEC
27001 [N. del T.: este artículo se publicó original-
mente antes de Octubre de 2005, fecha de aparición
de ISO/IEC 27001]. La parte normativa de este estándar tiene cuatro seccionesy un anexo (Anexo A). Los
requisitos de las cuatro secciones están asociados al
ciclo PDCA en la forma mostrada en la Tabla 1. El
anexo define todos los controles que deben ser considerados para generar el SOA. Por tanto, la estructura
de BS 7799-2:2002, al igual que la de la futura
ISO/IEC 27001, puede ser descrita sencillamente como:
■ Un marco PDCA.
■ Un SOA.
ISO 9001:2000
ISO9001:2000 es una especificación de un Sistema
de Gestión de la Calidad (SGC). La parte normativa
de este estándar tiene cinco secciones, numeradas del
4 al 8. Se deben satisfacer todos estos requisitos para
acreditar la conformidad con la norma, a excepción
de la sección 7 (Realización del Producto), donde el
estándar estipula en su cláusula 1.2: “Cuando se realicen exclusiones, no se podráalegar conformidad con
esta norma a menos que dichas exclusiones queden
restringidas a los requisitos expresados en el capítulo
7 y que tales exclusiones no afecten a la capacidad o
responsabilidad de la organización para proporcionar
productos que cumplan con los requisitos del cliente y
los reglamentarios aplicables”.
En la tabla 2, relacionamos los requisitos de las secciones 4, 5, 6 y 8 conel marco PDCA. Tratamos la
sección 7 como un SOA.
Tratamiento de la Sección 7 como SOA
El estándar BS 7799-2:2002 indica cómo los controles documentados en el anexo A de BS 7799-2 han de
Sección
Título
4.1
Requerimientos generales
4.2.1
Establecer el SGSI
4.2.2
Implementar y utilizar el SGSI
4.2.3
Monitorizar y revisar el SGSI
4.2.4
Mantener y mejorar el SGSI
4.3Requerimientos de documentación
5.1
Compromiso de la Dirección
5.2
Gestión de recursos
6
Revisión del SGSI por la Dirección
7
Mejora del SGSI
Tabla 1: Asociación de los requisitos de BS 7799-2:2002 con el ciclo PDCA
Página 1 de 4
Asociación con ciclo PDCA
Todos
PLANIFICAR [P]
HACER [D]
VERIFICAR [C]
ACTUAR [A]
Todos
Todos
HACER [D]
VERIFICAR [C]
ACTUAR [A]
© Gamma Secure Systems...
Por Dr. David Brewer y Dr. Michael Nash, Gamma Secure Systems Limited
Introducción
El Anexo C de BS 7799-2:2002 [1] describe las similitudes entre dicha norma y otros estándares de sistemas de gestión que se ajustan a la Guía ISO 72 [2].
Uno de ellos es ISO 9001 [3]. Sin embargo, creemos
que la correspondencia es mucho más próxima de lo
inicialmentepensado. Esta es una conclusión importante para aquellas organizaciones que están considerando la creación de un sistema de gestión (SG) integrado, p. ej., un único SG que cumpla con más de una
norma de sistemas de gestión.
En este documento, describimos BS 7799-2:2002 en
términos de un marco “PDCA” y un “SOA”. PDCA
significa
Plan-Do-Check-Act
[Planificar-HacerVerificar-Actuar], tambiénconocido como ciclo Deming, y es el marco global requerido por [2]. SOA
significa Statement of Applicability [declaración de
aplicabilidad] y es una lista de controles de seguridad
de la información que pueden ser, o no, aplicables a
una organización. Fue adoptado en la primera edición
(1999) del estándar como un modo de enlazar con el
código de prácticas ya existente que el nuevo estándar
estabadiseñado para evaluar. Después, describimos la
estructura de ISO 9001 y explicamos cómo puede ser
refundida para que se corresponda exactamente con la
estructura de BS 7799-2:2002. En nuestra conclusión,
recurrimos a un caso de estudio de una organización
con un SG integrado, certificado en ambos estándares, que ha aplicado con éxito los conceptos descritos
en este documento.
BS7799-2:2002
BS 7799-2:2002 es una especificación de un Sistema
de Gestión de la Seguridad de la Información (SGSI).
En breve, será promovida a la condición plena de Estándar Internacional y será publicada como ISO/IEC
27001 [N. del T.: este artículo se publicó original-
mente antes de Octubre de 2005, fecha de aparición
de ISO/IEC 27001]. La parte normativa de este estándar tiene cuatro seccionesy un anexo (Anexo A). Los
requisitos de las cuatro secciones están asociados al
ciclo PDCA en la forma mostrada en la Tabla 1. El
anexo define todos los controles que deben ser considerados para generar el SOA. Por tanto, la estructura
de BS 7799-2:2002, al igual que la de la futura
ISO/IEC 27001, puede ser descrita sencillamente como:
■ Un marco PDCA.
■ Un SOA.
ISO 9001:2000
ISO9001:2000 es una especificación de un Sistema
de Gestión de la Calidad (SGC). La parte normativa
de este estándar tiene cinco secciones, numeradas del
4 al 8. Se deben satisfacer todos estos requisitos para
acreditar la conformidad con la norma, a excepción
de la sección 7 (Realización del Producto), donde el
estándar estipula en su cláusula 1.2: “Cuando se realicen exclusiones, no se podráalegar conformidad con
esta norma a menos que dichas exclusiones queden
restringidas a los requisitos expresados en el capítulo
7 y que tales exclusiones no afecten a la capacidad o
responsabilidad de la organización para proporcionar
productos que cumplan con los requisitos del cliente y
los reglamentarios aplicables”.
En la tabla 2, relacionamos los requisitos de las secciones 4, 5, 6 y 8 conel marco PDCA. Tratamos la
sección 7 como un SOA.
Tratamiento de la Sección 7 como SOA
El estándar BS 7799-2:2002 indica cómo los controles documentados en el anexo A de BS 7799-2 han de
Sección
Título
4.1
Requerimientos generales
4.2.1
Establecer el SGSI
4.2.2
Implementar y utilizar el SGSI
4.2.3
Monitorizar y revisar el SGSI
4.2.4
Mantener y mejorar el SGSI
4.3Requerimientos de documentación
5.1
Compromiso de la Dirección
5.2
Gestión de recursos
6
Revisión del SGSI por la Dirección
7
Mejora del SGSI
Tabla 1: Asociación de los requisitos de BS 7799-2:2002 con el ciclo PDCA
Página 1 de 4
Asociación con ciclo PDCA
Todos
PLANIFICAR [P]
HACER [D]
VERIFICAR [C]
ACTUAR [A]
Todos
Todos
HACER [D]
VERIFICAR [C]
ACTUAR [A]
© Gamma Secure Systems...
Leer documento completo
Regístrate para leer el documento completo.