¿Qué es una Declaración de Aplicabilidad?
En pocas palabras, en su búsqueda por proteger los valiosos activos de información y gestionar las instalaciones de procesamiento de información, la SoA establece qué controles y políticas ISO 27001 está aplicando la organización. Se compara con el control del Anexo A establecido en la norma ISO 27001 (descrito en la parte posterior de ese documento de normas ISO como objetivos y controles de control de referencia).
La declaración de aplicabilidad se encuentra en el 6.1.3 de los principales requisitos de la Norma ISO 27001, que forma parte del 6.1 más amplio, centrado en acciones para abordar riesgos y oportunidades.
Por lo tanto, el SoA es una parte integral de la documentación obligatoria ISO 27001 que debe presentarse a un auditor externo cuando el SGSI se somete a una auditoría independiente, por ejemplo, por parte de un organismo de certificación de auditoría UKAS.
¿A quién se aplica la ISO 27001?
La norma ISO 27001 es aplicable a organizaciones de todo tipo y tamaño, incluyendo empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. El denominador común, independientemente del tamaño, tipo, ubicación geográfica o sector de la organización, es que esta busca demostrar las mejores prácticas en su enfoque de gestión de la seguridad de la información. Por supuesto, las mejores prácticas pueden interpretarse de diferentes maneras.
La norma ISO tiene que ver con el desarrollo de un sistema para la gestión del riesgo de seguridad de la información. Entonces, dependiendo del apetito de los líderes de la organización por el riesgo de la información y el alcance de los activos para abordar los riesgos, los controles y políticas aplicados pueden variar considerablemente de una organización a otra, y aun así cumplir con los objetivos de control de ISO 27001.
Sin embargo, lo que está claro es que el logro de la certificación ISO 27001 a través de una auditoría independiente de un organismo de certificación ISO aprobado significará que la organización ha alcanzado un nivel reconocido de control (las mejores prácticas como estándar) para los activos de información y las instalaciones de procesamiento.
La certificación ISO 27001 brinda a las partes interesadas, como clientes y prospectos poderosos, un mayor nivel de confianza que los métodos desarrollados por ellos mismos o estándares alternativos que no cuentan con la misma auditoría independiente o reconocimiento internacional.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Por qué es importante el SoA?
Junto con el Alcance del sistema de gestión de seguridad de la información (4.3 de ISO 27001), el SoA proporciona una ventana resumida de los controles utilizados por la organización. El SoA es un requisito fundamental para lograr la certificación ISO del SGSI y, junto con el alcance, será una de las primeras cosas que un auditor buscará en su trabajo de auditoría.
Esta documentación deberá estar disponible para su revisión durante la auditoría de certificación de la Etapa 1, aunque solo se profundizará durante la auditoría de la Etapa 2, cuando el auditor probará algunos de los controles de ISO 27001 y se asegurará de que no solo describan, sino que demuestren adecuadamente. se están logrando los objetivos de control.
El auditor revisará el inventario de activos de información, considerará los riesgos, su evaluación y tratamientos, y buscará evidencia física de que la organización ha implementado satisfactoriamente los controles que afirma para abordar el riesgo.
SoA y Scope cubrirán los productos y servicios de la organización, sus activos de información, instalaciones de procesamiento, sistemas en uso, personas involucradas y procesos de negocio, ya sea una empresa virtual de una sola persona o una operación internacional de múltiples sitios con miles de empleados.
Los clientes poderosos y educados con un riesgo de información significativo (por ejemplo, debido al GDPR u otros activos de información comercial) pueden querer ver el alcance y el SoA antes de comprar a un proveedor, para asegurarse de que la certificación ISO de hecho aborde las áreas del negocio involucradas con sus activos.
¡No sirve de nada tener una certificación ISO con alcance y SoA para una oficina central en el Reino Unido cuando el riesgo real de procesamiento de información se produce en un edificio en el extranjero con recursos fuera de alcance! En realidad, esa es una de las razones por las que los organismos de certificación ahora alientan los Ámbitos de "toda la organización", lo que por supuesto puede significar que se requiere una declaración de aplicabilidad mucho más amplia y profunda.
En resumen, un SoA bien presentado y fácil de entender muestra la relación entre los controles del Anexo A aplicables e implementados dados los riesgos y activos de información dentro del alcance. Le dará una gran confianza al auditor u otra parte interesada de que la organización está tomando en serio la gestión de la seguridad de la información, especialmente si todo eso se integra en un sistema holístico de gestión de la seguridad de la información.
¿Qué es el Anexo A ISO 27001?
El Anexo A de ISO 27001 es un catálogo de los objetivos y controles de control de seguridad de la información que deben considerarse durante la implementación de ISO 27001. El término técnico utilizado para ISO se refiere a la "justificación" del control. El SoA mostrará si el control del Anexo A es:
- Aplicable e implementado como control ahora
- Aplicable pero no implementado como control (por ejemplo, podría ser parte de una mejora para el futuro y capturarse en 10.2 como parte de una mejora, o el liderazgo está preparado para tolerar el riesgo dadas sus otras prioridades de control implementadas)
- No aplicable (tenga en cuenta que si algo se considera no aplicable, el auditor buscará comprender por qué es así, por lo que también se debe mantener un registro documentado al respecto en el SoA).
Los controles deben revisarse y actualizarse periódicamente durante el transcurso del ciclo de vida de tres años de la certificación ISO. Esto es parte de la filosofía de mejora continua de la gestión de la seguridad de la información incorporada en el estándar. Dado el creciente ritmo de crecimiento de los delitos cibernéticos, la seguridad cibernética también avanza rápidamente, por lo que cualquier cosa que no sea una revisión anual de los controles podría aumentar potencialmente la exposición de la organización a las amenazas.
¿Cuántos controles hay en la norma ISO:27001?
Los controles del Anexo A de la norma ISO 27001:2022 se han reestructurado, consolidado y modernizado. Los 93 controles (en comparación con los 114 de 2013) ahora se clasifican en cuatro grupos de control clave, en lugar de los 14 dominios de la versión anterior.
1. Controles organizacionales (37 controles)
Qué cubre:
Estos controles se centran en la gobernanza, la gestión de riesgos, la seguridad operativa y el cumplimiento.
¿Por qué se fusionó y actualizó esta categoría?
- Cumplimiento y gestión de riesgos simplificados: anteriormente, los controles relacionados con el cumplimiento estaban dispersos en múltiples dominios (por ejemplo, A.18 – Cumplimiento y A.6 – Organización de la seguridad de la información).
- Enfoque en la gobernanza de seguridad moderna: la evaluación de riesgos, la inteligencia de amenazas y la seguridad de los proveedores ahora están unificadas bajo esta categoría para alinearse con las prácticas comerciales en evolución.
- Mejor integración con ISO 31000 (Gestión de riesgos): ayuda a las organizaciones a alinear las metodologías de evaluación y tratamiento de riesgos con los estándares globales.
Controles clave en esta categoría:
- A.5.7 – Inteligencia sobre amenazas (nuevo): se agregó para abordar el monitoreo de amenazas en tiempo real y el intercambio de inteligencia.
- A.5.21 – Gestión de incidentes de seguridad de la información (fusionado) – Consolida los requisitos de registro y respuesta a incidentes anteriores.
- A.5.31 – Requisitos legales, estatutarios, reglamentarios y contractuales (Fusionado) – Combina A.18.1.1 (Identificación de la legislación aplicable y los requisitos contractuales) y A.18.1.4 (Privacidad y protección de información de identificación personal) para un único marco de cumplimiento.
2. Controles de personas (8 controles)
Qué cubre:
Estos controles abordan los riesgos de seguridad humana, incluida la concientización sobre la seguridad, la capacitación y las responsabilidades de los empleados.
¿Por qué se fusionó y actualizó esta categoría?
- Las personas son el eslabón más débil: un gran porcentaje de las violaciones de seguridad ocurren debido a errores humanos, phishing o ingeniería social.
- Anteriormente dispersos en múltiples dominios, A.7 (Seguridad de recursos humanos) y A.12 (Seguridad operativa) contenían controles relacionados con las personas, lo que dificultaba la gestión integral de la concientización y la capacitación en seguridad.
- Se alinea con las tendencias de capacitación de la fuerza laboral en ciberseguridad: los programas de concientización sobre seguridad ahora enfatizan el aprendizaje continuo, los ataques de phishing simulados y la capacitación en seguridad basada en roles.
Controles clave en esta categoría:
- A.6.3 – Concientización, educación y capacitación en seguridad de la información (fusionado) – Combina A.7.2.2 (Concientización, educación y capacitación en seguridad de la información) con elementos de A.6.2 (Responsabilidades internas de la organización) para un enfoque más fuerte en el compromiso continuo de los empleados.
- A.6.1 – Evaluación (actualizada) – Reforzada para incluir verificación de antecedentes de contratistas y consideraciones de riesgo de terceros.
3. Controles físicos (14 controles)
Qué cubre:
Esta sección se centra en las medidas de seguridad física para proteger instalaciones, dispositivos y centros de datos.
¿Por qué se fusionó y actualizó esta categoría?
- Consolidación de controles de seguridad física redundantes: la versión de 2013 tenía controles separados para diferentes aspectos de la seguridad de las instalaciones, ahora simplificados en una sola categoría.
- Mayor enfoque en el trabajo remoto y la seguridad móvil: dado que los modelos de trabajo híbridos se están convirtiendo en la norma, los controles de seguridad ahora abordan los riesgos de seguridad del trabajo desde casa.
- Consideraciones de seguridad de IoT y edificios inteligentes: los controles de seguridad física se actualizan para incluir los riesgos de seguridad de IoT y la vigilancia impulsada por IA.
Controles clave en esta categoría:
- A.7.4 – Monitoreo de seguridad física (nuevo) – Aborda cámaras de seguridad, cerraduras inteligentes y detección de intrusiones en tiempo real.
- A.7.5 – Trabajo en áreas seguras (actualizado) – Ahora incluye requisitos de trabajo remoto seguro para mitigar los riesgos de las fuerzas de trabajo híbridas y remotas.
4. Controles tecnológicos (34 controles)
Qué cubre:
Este grupo se centra en la seguridad de la infraestructura de TI, la seguridad de la nube, el control de acceso y la criptografía.
¿Por qué se fusionó y actualizó esta categoría?
- El panorama de las amenazas cibernéticas ha evolucionado: la versión de 2013 no abordó por completo las amenazas cibernéticas modernas, incluido el ransomware, los ataques basados en la nube y la piratería impulsada por inteligencia artificial.
- Auge de la computación en la nube y los riesgos del SaaS: el nuevo control de seguridad en la nube (A.5.23 – Seguridad de la información para servicios en la nube) aborda entornos de múltiples nubes y modelos de responsabilidad compartida.
- Cumplimiento de la protección de datos y la privacidad: los nuevos controles como A.8.11 (Enmascaramiento de datos) y A.8.12 (Prevención de fugas de datos) se alinean con el RGPD, la norma ISO 27701 y las regulaciones globales de privacidad.
Controles clave en esta categoría:
- A.8.11 – Enmascaramiento de datos (nuevo): protege la información de identificación personal (PII) y los datos confidenciales mediante técnicas de tokenización y anonimización.
- A.8.12 – Prevención de fugas de datos (nuevo) – Implementa políticas de DLP para evitar transferencias de datos no autorizadas.
- A.8.9 – Gestión de configuración (nuevo) – Aborda configuraciones incorrectas en aplicaciones en la nube y SaaS, una de las principales causas de violaciones de datos.
- A.8.23 – Filtrado web (nuevo): protege a los usuarios de sitios web maliciosos, intentos de phishing y descargas infectadas con malware.
- A.8.28 – Codificación segura (actualizado) – Fortalece las prácticas del ciclo de vida de desarrollo de software (SDLC) seguro para reducir las vulnerabilidades del software.
Resumen de cambios de la norma ISO 27001:2013
| ISO 27001:2013 (114 controles) | ISO 27001:2022 (93 controles) | Razón para el cambio |
|---|---|---|
| 14 dominios de control | 4 grupos de control principales | Simplifica la gestión y se alinea con los marcos de ciberseguridad modernos |
| Controles de cumplimiento redundantes | Unificado en A.5.31 | Combina requisitos legales, regulatorios y contractuales |
| Controles separados de RR.HH., concientización e incidentes | Consolidado bajo People Controls | Mayor enfoque en la cultura de seguridad y la concienciación de los empleados |
| Faltaban amenazas modernas de ciberseguridad | Se agregó inteligencia sobre amenazas, seguridad en la nube y DLP | Aborda el ransomware, los riesgos de la nube y los vectores de ataque modernos. |
Atributos de control ISO 27001:2022 y alineación con NIST CSF
Se presenta la norma ISO 27001:2022 atributos de control para mejorar la clasificación y mejorar la alineación con los marcos de ciberseguridad como LCR del NISTEstos atributos ayudan a las organizaciones a mapear sus controles a dominios de seguridad más amplios, lo que facilita la implementación del cumplimiento entre marcos.
Atributos de control en la norma ISO 27001:2022
| Atributo | Descripción | Mapeo del LCR del NIST |
|---|---|---|
| Tipo de control | Define si el control es preventivo, detectivesco o correctivo | Identificar, proteger, detectar, responder, recuperar |
| Propiedades de seguridad de la información | Especifica cuál Principio de la tríada de la CIA (Confidencialidad, Integridad, Disponibilidad) el control protege | Proteger, detectar, recuperar |
| Conceptos de ciberseguridad | Asigna el control a conceptos de ciberseguridad como gobernanza, gestión de identidad, detección de amenazas, seguridad de datos, resiliencia | Todas las funciones CSF del NIST |
| Capacidades operativas | Define el área de seguridad que soporta, como por ejemplo: Monitoreo, registro, respuesta a incidentes, control de acceso | Proteger, detectar, responder |
| Dominios de seguridad | Enlaces a áreas de seguridad más amplias como seguridad de red, protección de datos, gestión de riesgos, seguridad en la nube | Identificar, proteger, detectar |
Mapeo de control ISO 27001:2022 a NIST CSF
| Control ISO 27001:2022 | Tipo de control | Propiedad de la CIA | Concepto de ciberseguridad | Capacidad operacional | Dominio de seguridad | Función CSF del NIST |
|---|---|---|---|---|---|---|
| A.5.7 – Inteligencia sobre amenazas | Preventivo | Confidencialidad, Integridad | Monitoreo y detección de amenazas | Registro, análisis | Gestión de riesgos | Identificar, detectar |
| A.8.11 – Enmascaramiento de datos | Preventivo | Confidencialidad | Protección de datos, Privacidad | Seguridad de Datos | Gestión de datos | Proteger |
| A.8.12 – Prevención de fugas de datos | Preventivo, Detective | Confidencialidad | Seguridad de endpoints, seguridad de red | Monitoreo, Prevención | Seguridad en la nube y en puntos finales | Proteger, detectar |
| A.8.9 – Gestión de la configuración | Preventivo | Integridad, Disponibilidad | Fortalecimiento de la seguridad | Mantenimiento del sistema | Red de Seguridad | Proteger |
Beneficios de usar atributos de control
- Gobernanza y cumplimiento mejorados – Facilita la justificación de controles en auditorías para ISO 27001, NIST y SOC 2.
- Alineación entre marcos mejorada – Ayuda a mapear controles en NIST CSF, CIS 18 e ISO 27701.
- Un enfoque más sólido basado en el riesgo – Las organizaciones pueden priorizar los controles en función de los factores de riesgo y los objetivos de seguridad.
- Seguridad en la nube y el trabajo remoto – Los atributos de control resaltan nuevos riesgos en la computación en la nube, las fuerzas de trabajo híbridas y la seguridad de la cadena de suministro.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué controles debo incluir?
La Declaración de Aplicabilidad es el vínculo principal entre su evaluación de riesgos de seguridad de la información y el trabajo de tratamiento, y muestra "dónde" ha elegido implementar controles de seguridad de la información a partir de los 93 objetivos de control (una buena Declaración de Aplicabilidad también podrá profundizar para mostrar "cómo" se han implementado).
Si bien los controles del Anexo A proporcionan una lista de verificación útil para su consideración, simplemente implementar los 93 controles desde "abajo hacia arriba" puede resultar costoso y no alcanzar los objetivos fundamentales de la norma. Lamentablemente, algunos consultores y proveedores de seguridad de la información que venden 'kits de herramientas completos de documentación ISO 27001' abogarán por este enfoque, pero es la forma incorrecta de gestionar la seguridad de la información.
Hay una razón por la cual los requisitos básicos de ISO 27001 desde 4.1-10.2 están ahí. Ayudan a que la organización adopte un enfoque basado en el negocio y la estrategia, desde arriba hacia abajo. Habiendo considerado los problemas, las partes interesadas, el alcance y los activos de información, la organización puede identificar los riesgos, luego evaluarlos y considerar tratamientos para esos riesgos.
Los riesgos relacionados con la información valiosa y las instalaciones de procesamiento, los dispositivos, las personas involucradas, etc. deben evaluarse teniendo en cuenta la Confidencialidad, Integridad y Disponibilidad (CIA) de la información.
Este desglose de la CIA también es un aspecto importante que el auditor debe comprender y demuestra que la organización ha considerado el riesgo de manera más integral. Fundamentalmente, también significa que el SoA se ha desarrollado con ese enfoque más integral, en lugar de solo una parte, por ejemplo, considerando solo el riesgo de pérdida de información debido a una violación.
Si bien la organización considerará los riesgos de sus operaciones, como se detalla anteriormente, cabe mencionar que una de las áreas de control del Anexo A que siempre será aplicable es el "Control: A.5.31 - Requisitos legales, estatutarios, reglamentarios y contractuales". Esto implica que también se deben considerar los requisitos de las leyes, reglamentos y contratos pertinentes. Esto está adquiriendo mucha mayor relevancia gracias al RGPD de la UE para quienes procesan información de ciudadanos de la UE y, cada vez más, también a nivel mundial con otras normas de privacidad como POPI en Sudáfrica, LGPD en Brasil y la CCPA en California.
Al comprender las expectativas de las regulaciones de privacidad, también dicta efectivamente que muchos de los controles ISO 27001 son necesarios, ya sea que usted crea que lo son o no. Por lo tanto, un auditor inteligente esperará comprender la legislación aplicable que afecta a su organización y cómo eso también influye en su elección de los controles aplicables en la justificación de la SoA.
Por supuesto, algunos riesgos de seguridad de la información podrían eliminarse por completo, transferirse a otra parte, tratarse o tolerarse. Todos esos controles del Anexo A le ayudarán a considerar y, cuando corresponda, implementar la filosofía de transferencia, tratamiento o tolerancia en torno a los riesgos. Luego, el SoA muestra qué medidas de seguridad de los controles del Anexo A está utilizando y cómo las ha implementado, es decir, sus políticas y procedimientos.
Los objetivos de control del Anexo A y los controles enumerados en la norma ISO 27001 no son prescriptivos, pero deben considerarse y esa justificación de aplicabilidad es esencial para una certificación independiente de un organismo de certificación ISO.
ISO 27002 y la Declaración de Aplicabilidad
Ya sea que la certificación independiente sea un objetivo o tal vez simplemente el cumplimiento cuando se combina con la guía complementaria ISO 27002, los controles del Anexo A son una base positiva sobre la cual construir cualquier organización que desee mejorar su postura de seguridad de la información y hacer negocios de manera más segura.
ISO 27002, es la norma complementaria a ISO 27001, proporciona un código de prácticas y un esquema útil para los controles de seguridad de la información y, por lo tanto, proporciona un muy buen catálogo de objetivos de control y controles para el tratamiento de riesgos, así como orientación sobre cómo implementarlos.
Las medidas de seguridad (controles del Anexo A) que implemente para gestionar esos riesgos dependerán en realidad de su organización, su apetito por el riesgo y el alcance, así como de la legislación aplicable. Pero sea lo que sea, debe presentarse en la Declaración de Aplicabilidad si desea obtener una certificación ISO 27001.
¿Qué información debe incluirse en el SoA?
Entonces, resumamos qué información debe incluirse como mínimo para el SoA.
- Una lista de los 93 controles del Anexo A
- Si el control se implementa o no.
- Justificación de su inclusión o exclusión
- Una breve descripción de cómo se implementa cada control aplicable, con referencia a la política y control que lo describe con el detalle adecuado.
Como se mencionó anteriormente, el SoA es una ventana al SGSI de la organización. Si no puede mostrar cómo se abre esa ventana a la naturaleza profunda y conectada del sistema de gestión de seguridad de la información, eso puede crear problemas. Imagine la situación en la que aparece el auditor y la hoja de cálculo que muestra los 93 controles está muy desactualizada con respecto a los controles de gestión reales implementados.
Una de las razones más comunes para no aprobar una auditoría ISO 27001 es que el auditor no puede confiar en la administración del SGSI y la documentación está mal gestionada o falta. Tener un 'documento' SoA independiente en lugar de una documentación integrada y automatizada de un SoA aumenta ese riesgo.
¿Cómo se crea la Declaración de Aplicabilidad?
Siempre que el SoA tenga la información correcta, sea preciso y esté actualizado, puede crear el SoA a partir de papel, hojas de cálculo, documentos o sistemas profesionales que lo automaticen como parte de su capacidad más amplia de GRC (Gobernanza, Regulación y Cumplimiento). .
En un mundo ideal, su SoA difícilmente cambiará (sobre todo porque los organismos de certificación pueden cobrar por los cambios de versión del SoA). Sin embargo, lo que se encuentra debajo del SoA, es decir, el corazón palpitante del SGSI mismo, debe ser dinámico como una representación viva de su panorama de seguridad de la información en evolución.
El SoA debe revisarse cuando se revisan sus políticas y controles (al menos una vez al año), por lo que aun así se beneficiaría de ser un proceso eficiente dados los 114 controles a considerar.
Crear una hoja de cálculo con los controles como lista de verificación es pan comido y bastante rápido de hacer. Sin embargo, no es tan sencillo hacerlo con la confianza de que toda la planificación e implementación de seguridad de la información anterior en torno a los activos, riesgos y controles se ha realizado en el orden correcto y se ha expresado como un resumen de SoA. Un auditor querrá ver qué hay debajo de la simple línea superior de 114 filas en una hoja de cálculo.
En los viejos tiempos, presentar el SoA como un documento detallado de 200 páginas realmente significaba mucho trabajo, especialmente para mantenerlo actualizado a medida que evolucionaban las políticas y los controles. Ahora existen formas mucho mejores y más sencillas de automatizar SoA y aprovechar el arduo trabajo ya realizado en otras partes del ISMS.
Cómo ahorrar tiempo al redactar su Declaración de Aplicabilidad
Por lo general, a una organización le lleva mucho tiempo elaborar el SoA debido a lo que lo informa. Si pensamos en los pasos involucrados en su creación y el trabajo necesario para ello, no es de extrañar:
- Considere los problemas, las partes interesadas y el alcance del SGSI.
- Identificar los activos de información y las instalaciones y dispositivos de procesamiento en riesgo.
- Evaluar y valorar los riesgos asociados a la seguridad de la información utilizando la Confidencialidad, Integridad y Disponibilidad
- Evaluar esos riesgos y luego decidir cuáles de los 114 controles del Anexo A son necesarios
- Comprender y evaluar la legislación aplicable (y cualquier obligación contractual clave de clientes poderosos) para resaltar otras áreas de control.
- Decidir cómo implementar el control en términos de política, procedimiento, personas, tecnología, etc.
- Luego, cree el documento SoA con las justificaciones claras sobre la aplicabilidad.
- Lo ideal es vincular los detalles de control, los riesgos y los activos para mostrar que el SGSI funciona
- Y gestionarlo de forma continua. El SoA es una parte pequeña pero muy importante de un SGSI muy completo. Si se hace bien, preparará a la organización para el éxito de las auditorías y la creación de confianza para los clientes inteligentes y otras partes interesadas. Si se hace mal, es casi seguro que interrumpirá y retrasará el tiempo necesario para obtener la certificación y puede significar la pérdida de negocios u oportunidades futuras por no lograr o mantener la certificación.
Acelere el proceso de SoA con ISMS.online
ISMS.online es un sistema integral de gestión de seguridad de la información que, entre muchas otras cosas, facilita la administración y gestión de sus activos de información, riesgos, políticas y controles, todo en un solo lugar.
También significa que la creación de SoA se puede automatizar y presentar de forma sencilla y eficiente. Por lo tanto, además de otros beneficios, como que cuesta menos tiempo lograr el éxito de ISO 27001, también acelera el proceso de certificación ISO.
Concentre su energía en administrar su negocio de la manera que desea y dedique tiempo a lo que necesita lograr para tener éxito, preocupándose menos por cómo hacerlo. ISMS.online hace que sea muy fácil realizar su trabajo, incluido SoA, a una fracción del costo y el tiempo de las alternativas.
