Requisito 27001 de ISO 7.2 – Competencia

¿Qué implica la Cláusula 7.2?

ISO IEC 27001 para la cláusula 7.2 básicamente dice que la organización se asegurará de que tiene:

• determinó la competencia de las personas que realizan el trabajo en el SGSI que podría afectar su desempeño
• personas que se consideran competentes sobre la base de la educación, formación o experiencia pertinentes
• cuando sea necesario, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las acciones
• retuvo evidencia de lo anterior para propósitos de auditoría

Sobre la base de estos requisitos, es fácil pensar que la respuesta para 7.2 podría ser contratar a un experto en seguridad de la información, ¡pero eso no siempre es necesario!

Hay una gran cantidad de habilidades y experiencias necesarias para una implementación exitosa y una gestión continua de un SGSI certificado según ISO 27001, más allá de la experiencia en seguridad física, ciberseguridad, seguridad informática u otras formas de seguridad de la información per se.

Entre ellos se incluyen: comercial, legal, recursos humanos, TI, así como la experiencia en productos y servicios relevantes para el trabajo en cuestión.

La creación y ejecución de un SGSI suele ser un trabajo de equipo colaborativo. Lo más importante es la comprensión de la organización, su propósito y objetivos, su cultura, apetito de riesgo y los requisitos expresados ​​en las cláusulas 4.1, 4.2, 4.3, 6.1, 6.2.

Demostrar el cumplimiento de la cláusula 7.2

Además de las cláusulas de concientización 7.3 y comunicación 7.4, 7.2 se puede demostrar con una declaración general sobre el equipo involucrado y su credibilidad, con enlaces a través del SGSI para demostrar su trabajo como evidencia para ahorrar tiempo (si está utilizando una plataforma conjunta como ISMS.online).

Además, es útil una tabla simple para mostrar a las personas involucradas, el rol que desempeñan con notas junto con su experiencia, capacitación o educación relevante y a algunos auditores les gusta ver ese detalle. No tiene que ser un CV, sólo mostrar por qué están involucrados:
Por ejemplo, Fred Bloggs: líder de implementación con un trabajo diario de prestación de servicios y gerente de TI. Tiene 5 años de experiencia en ambos campos y capacitación o educación relevante, por ejemplo, asistió a cursos en línea sobre seguridad cibernética o realizó una maestría en ciencias de la computación.

Esto puede ser muy simple, no es un análisis de necesidades de capacitación en seguridad de la información ni un plan de acción detallado (aunque es posible que también desee uno de ellos dependiendo del estilo de la organización y su enfoque de los planes de desarrollo de recursos humanos).

Todo lo que el auditor externo querrá saber es que el equipo involucrado es competente y es probable que parte o la totalidad del equipo participe en el proceso de auditoría de todos modos, momento en el cual el auditor se formará su propia opinión de todos modos.

Recuerde, la seguridad de la información realizada con un enfoque empresarial se trata de gestionar mejor el negocio, no sólo de implementar controles 114 por el simple hecho de hacerlo. Por lo tanto, es poco probable que haya lagunas en las habilidades y conocimientos básicos de su organización; de lo contrario, es poco probable que esté funcionando.

Sin embargo, si existen brechas en la competencia, habilidades y experiencias en torno a la implementación y ejecución de un sistema de gestión de seguridad de la información para cumplir con esta cláusula, se pueden cerrar de varias maneras:

• Enviar al personal involucrado a cursos de capacitación sobre implementación, implementación y auditor líder de ISO 27001, o uno de los muchos otros cursos de seguridad de la información que existen. Sin embargo, esto puede resultar costoso para una sola persona y mucho menos para un equipo, tanto en términos de costo como de tiempo fuera de la oficina. Podría generar problemas de implementación por sí solo si el capacitador o el programa es demasiado general, anticuado o no comprende la cultura de la organización, las formas de trabajar, etc.
• Leer muchos de los recursos gratuitos en Internet, como los recursos de este sitio web, sitios como el Centro Nacional de Seguridad Cibernética (NCSC) con sus guías y listas de verificación especializadas, y asimilar las normas ISO 27001 e ISO 27002 le mostrará al auditor un nivel de competencia también. Esto encaja con el Anexo A 6.1.4 para estar al tanto y participar en foros y asociaciones profesionales especializados en seguridad de la información.
• Contrate recursos físicos especializados para ayudar a desarrollar la competencia: existe un mercado creciente para CISO (directores de seguridad de la información) virtuales y equipos a su alrededor. Sin duda, esto puede tener sentido y lo recomendamos para un trabajo específico junto con los recursos internos que son especialistas en sus campos cuando la organización tiene problemas de capacidad y el presupuesto es un problema menor. Muchos de los socios de ISMS.online ofrecen este tipo de servicios y estamos encantados de sugerir un socio que pueda ayudar a cerrar estas brechas y agregar aún más valor a ISMS.online.
• Utilice el servicio Virtual Coach dentro de ISMS.online para desarrollar y aumentar la competencia en todo el equipo de implementación y mostrarle al auditor que cada miembro del equipo ha recibido capacitación/tutoría en seguridad de la información y ha recibido capacitación sobre el plan de preparación para que lo sepan desde el terreno. qué es un sistema de gestión de seguridad de la información, por qué se requiere y cuál es su trabajo en el equipo. También pueden demostrar que trabajan con confianza y consistencia a un nivel que sigue las guías, consejos y videos del Virtual Coach dentro de cada uno de los requisitos y áreas de controles del Anexo A.

Obtenga la certificación hasta 5 veces más rápido con ISMS.online

El cumplimiento no tiene por qué ser complicado: ISMS.online está diseñado para ayudarle a obtener la certificación ISO 27001 de forma rápida y asequible sin necesidad de formación.
Hemos optimizado el proceso ISO 27001 con nuestro Método de Resultados Garantizados, un 80% de Headstart, su propio Entrenador Virtual 24 horas al día, 7 días a la semana, fácil incorporación y soporte de expertos.

Reserve una demostración de la plataforma para ver cómo ISMS.online puede ayudar a su empresa