wordpress stats plugin
Inicio » Integrar las normas ISO 30300 con otros sistemas de gestión ISO

Los 3 ejes de la Información: gestión documental, seguridad y legalidad. El tándem ISO 30301 – ISO 27001

Escrito por: el 09/07/2013

En las últimas semanas Núria Amérigo de ACD Consultoría Documental y Juan Carlos López de AIDCON Consulting hemos participado en seminarios conjuntos en los que hemos hablado de los tres ejes de la Información (con mayúscula): gestión documental, seguridad y legalidad. Todos ellos son aspectos conocidos pero hemos pretendido insistir en los puntos de conexión que existen, en su complementariedad y en la necesidad y la oportunidad de abordarlos de manera coordinada.

Los 3 ejes de la Información: gestión documental, seguridad y legalidad por Juan Carlos López

Durante estas mismas semanas he leído con mucha atención los apuntes de Javier Cao en los que, de manera muy concreta, se establece la relación entre “clasificación” y “acceso” desde la perspectiva de las normas ISO 30301 e ISO 27001.

Nuestras reflexiones sobre los tres ejes de la Información me han puesto delante algunos otros puntos de conexión no menos importantes que los ya señalados por Javier Cao y que comparto plenamente. En concreto se trata del análisis de riesgos e identificación de activos y los aspectos legales.   

Análisis de riesgos e identificación de activos

En el diseño e implantación de un Sistema de Gestión de Seguridad de la Información según norma ISO 27001 se debe comenzar por realizar un análisis de riesgos para todos los activos que están dentro de su alcance. Según la norma ISO 27005 dichos activos pueden ser primarios (Información y procesos) y de soporte (hardware, software, red y personal), estableciéndose las dependencias entre los primarios y los de soporte.

En el punto de identificación de los activos primarios es donde se establece una importante conexión entre las normas ISO 30301 e ISO 27001, dado que las organizaciones que cuentan con procesos de gestión documental (primer eje de la Información) deberían disponer del conocimiento de sus activos primarios. Por el contrario, en aquellas organizaciones que no existen procesos de gestión documental esta labor de identificación podría ser más laboriosa. 

Aspectos legales

El objetivo de control 15.1 de cumplimiento de los requisitos legales de la norma ISO 27001 requiere controles relativos a la identificación de la legislación aplicable (15.1.1), aplicación de normas de propiedad intelectual (15.1.2), protección de documentos de la organización (15.1.3), protección de datos y privacidad de la información personal (15.1.4) y prevención de uso indebido de recursos de tratamiento de la Información (15.1.5).

En este punto de cumplimiento de aspectos legales se establece otra importante conexión entre las normas ISO 30301 e ISO 27001, dado que las organizaciones que cuentan con procesos de gestión documental (primer eje de la Información) deberían haber identificado estos aspectos legales y estarían preparadas para complementarlos cuando así se requiriera desde el punto de vista de la seguridad de la información. Por el contrario, en aquellas organizaciones que no existen procesos de gestión documental será necesario identificar qué Información debe ser acorde a qué obligaciones legales.

El tándem ISO 30301 – ISO 27001 por Nuria Amérigo

Para finalizar este apunte quiero insistir en que las normas ISO son un apoyo incuestionable en la mejora continua y el camino hacia la excelencia de las empresas. Dos pilares sin los cuales cada vez es más difícil llevar a buen puerto un negocio, actividad profesional o cualquier tipo de emprendimiento sea cual sea su campo de acción, especialidad o tamaño.

Para los profesionales de la gestión documental está siendo un hito conseguir de la mano de la norma ISO 30301 la integración de los archivos en las políticas de calidad de las organizaciones, tanto con la archiconocida ISO 9001, como en este caso la ISO 27001.

En el tiempo que llevó colaborando con AIDCON Consulting nuestros clientes y alumnos, muchos de ellos con certificaciones, empiezan a ver en el tándem IOS 30301 – ISO 27001 la solución a muchos problemas e incertidumbres que no sabían cómo resolver y que les restaban competitividad. La unión de ambas normas suscita cada vez más interés porque la normalización de los archivos y la seguridad de la información les dan la oportunidad de gestionar de forma eficiente estos activos reduciendo los costes y mejorando sus oportunidades de negocio, todos ellos imprescindibles en un mundo cada vez más global y competitivo.

El blog “www.iso30300.es” es una iniciativa de ebla Gestió Documental S.L., consultoría especializada en gestión documental.

1 Comentario »

  • Javier Cao Avellaneda opinó:

    Comparto plenamente el contenido del post y muy pertinente destacar el proceso de análisis de riesgos como un elemento que puede dar una visión completa de la Organización y que puede proporcionar la perspectiva estratégica necesaria para empezar a entender la “gestión de información” como un proceso clave de toda organización. Casualmente ayer posteaba con el titulo “Digitalizar o informatizar, esa es la cuestión” reflexiones sobre la importancia que tiene conocer cual es el sistema circulatorio de la información en una Entidad, eso que llaman ahora “Enterprise Architecture” y que podéis consultar en la entrada http://seguridad-de-la-informacion.blogspot.com.es/2013/07/digitalizar-o-informatizar-esa-es-la.html

Escriba su comentario aquí: