Requisito 27001 de ISO 8.3: Tratamiento de riesgos de seguridad de la información

¿Qué implica la Cláusula 8.3?

Según la cláusula 8.3, el requisito es que la organización implemente el plan de tratamiento de riesgos de seguridad de la información y conserve información documentada sobre los resultados de ese tratamiento de riesgos. Por lo tanto, este requisito tiene que ver con garantizar que los procesos de tratamiento de riesgos descritos en la cláusula 6.1, Acciones para abordar riesgos y oportunidades, realmente se estén llevando a cabo. Esto debe incluir evidencia y pistas de auditoría claras de revisiones y acciones, que muestren los movimientos del riesgo a lo largo del tiempo a medida que surgen los resultados de las inversiones (entre otras cosas, dando a la organización y al auditor la confianza de que los tratamientos de riesgo están logrando sus objetivos). Al igual que otras partes de la cláusula 8, esto ya se logra si la organización ha abordado el SGSI general con el enfoque descrito en la cláusula 7.5.

Cumplir con los requisitos para 8.3

Para cumplir con los requisitos de 8.3, debe poder demostrar que se está implementando el plan de tratamiento de riesgos descrito en la cláusula 6.1.

Como se describe más detalladamente en 6.1, esto debe incluir la evidencia detrás del tratamiento. En términos simples, "tratamiento" puede ser el trabajo que se realiza internamente para controlar y tolerar el riesgo, o podría significar pasos que se están tomando para transferir el riesgo (por ejemplo, a un proveedor), o podría ser terminar un riesgo por completo. Los controles seleccionados para gestionar los riesgos deben considerar, entre otros, los descritos en el Anexo A de la norma. Estos controles del Anexo A forman la declaración de aplicabilidad (SoA) que describe todos los controles y por qué la organización los ha implementado o no.

Cómo crear un tratamiento de riesgos y gestionar su proceso de tratamiento de riesgos

El tratamiento de riesgos debe considerarse junto con la evaluación de riesgos y, en última instancia, también incorporarse al SoA.

Normalmente, las organizaciones consideran que gestionar y evidenciar el riesgo es la parte más compleja de ISO 27001. Lea nuestro artículo reciente Explicación de la gestión de riesgos de seguridad de la información para explorar la gestión de riesgos más a fondo. Puede llevar días, semanas o meses de trabajo establecer una solución de riesgos totalmente operativa.

Ese esfuerzo significa establecer la metodología de evaluación de riesgos conforme, una forma de documentar y capturar la evidencia de todo el proceso de gestión de riesgos de seguridad, así como de analizarlo para el primer conjunto completo de riesgos y tratamientos.

La solución de software ISMS.online puede reducir ese tiempo y ahorrar una enorme cantidad de trabajo en el proceso con las herramientas y métodos de gestión de riesgos incluidos. ISMS.online también proporciona:

• Un modelo de política para la Cláusula 8. de ISO 27001:2013
• Un modelo de política y metodología para la cláusula 6.1 que incluye un enfoque integral pero pragmático para la identificación, el análisis y el tratamiento de riesgos, así como un seguimiento y revisión continuos.
• Herramientas de gestión de riesgos fáciles de usar, como se describe en la política y metodología anteriores, que producen y mantienen el plan de tratamiento.
• Todo un banco de riesgos populares junto con controles sugeridos en el Anexo A para vincular y tratar el riesgo en torno
• Espacios de trabajo para capturar todo el trabajo realizado, lo que permite la retención de la información documentada dentro de las herramientas y ofrece enlaces a los controles y políticas utilizados para abordar los riesgos y problemas.
• Declaración de aplicabilidad creada dinámicamente, vinculada a los controles del Anexo A
• Un lugar unido para gestionar de forma segura todo el SGSI

Obtenga la certificación hasta 5 veces más rápido con ISMS.online

El cumplimiento no tiene por qué ser complicado: ISMS.online está diseñado para ayudarle a obtener la certificación ISO 27001 de forma rápida y asequible sin necesidad de formación.
Hemos optimizado el proceso ISO 27001 con nuestro Método de Resultados Garantizados, un 80% de Headstart, su propio Entrenador Virtual 24 horas al día, 7 días a la semana, fácil incorporación y soporte de expertos.

Reserve una demostración de la plataforma para ver cómo ISMS.online puede ayudar a su empresa