Respuestas claras para diferenciar lo que realiza CSC, lo que corresponde a un organismo certificador y cómo preparar una organización para demostrar seguridad de la información con evidencia.
No. CSC puede realizar diagnóstico, implementación de SGSI, auditoría interna, preparación documental, acompañamiento pre-certificación y seguimiento de acciones. El certificado ISO/IEC 27001 debe emitirlo un organismo de certificación acreditado e independiente.
Esta separación evita conflictos de interés y protege la credibilidad del proceso frente a clientes, licitaciones y partes interesadas.
Lo emite un organismo de certificación de sistemas de gestión acreditado para ISO/IEC 27001. En Colombia se recomienda validar el alcance del organismo en el directorio del organismo nacional de acreditación y confirmar que el certificado pueda verificarse públicamente.
Ejemplos de entidades que ofrecen servicios de certificación o evaluación son ICONTEC, SGS y otros organismos acreditados, según alcance, sector, país y disponibilidad.
Es establecer, operar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Incluye contexto, alcance, liderazgo, política, riesgos, controles, evidencias, auditoría interna y mejora continua.
No. La auditoría interna verifica conformidad, eficacia y oportunidades de mejora antes de una certificación externa. Sirve para encontrar brechas, preparar evidencias y reducir sorpresas durante la auditoría de certificación.
Es el documento donde se revisan todos los controles del Anexo A, se indica si aplican o no, si están implementados y cuál es la justificación. No basta con listar solo los controles seleccionados.
Depende del tamaño, número de procesos, sedes, empleados, alcance del SGSI, madurez documental, evidencias disponibles y organismo certificador. Deben separarse costos de implementación, auditoría interna y certificación externa.
Una organización pequeña con buen nivel de madurez puede avanzar en algunos meses. Organizaciones con múltiples sedes, procesos críticos o baja documentación requieren más tiempo para implementar, operar y demostrar eficacia.
Política, alcance, matriz de riesgos, plan de tratamiento, inventario de activos, controles, registros de capacitación, incidentes, auditorías internas, acciones correctivas, revisión por la dirección y evidencias técnicas/documentales.
En CSC actuamos con responsabilidad profesional: preparamos a la organización con método, evidencia, trazabilidad y madurez para afrontar una auditoría de certificación realizada por un organismo externo acreditado.
Nuestras cotizaciones diferencian claramente los servicios prestados por CSC frente a los costos de terceros, como organismo certificador, compra de normas oficiales, licenciamiento de herramientas o pruebas técnicas especializadas, salvo acuerdo escrito.
Solicitar orientación