ISO27001 paso 1: entender que NO es un proyecto de informática.
ISO27001 paso 2: nombrar un SIRO (senior Information & risk officer) que ya esté reportando al CEO o director general de la organización.
ISO27001 paso 3: obtener e interiorizar el ISO27002 (recomendaciones para 272001). Hacer un gap analysis: ¿qué hago yo y qué dicta 27002?
ISO 27001 paso 4: entender los ciclos PDCA (planifica, haz, comprueba o valida, actúa). Crear sendos asset y risk registers.
ISO 27001 paso 5: curra para solventar todos los gaps detectados. Cubre toda la org: RRHH, finanzas, office facilities, business mgmt, IT…
ISO 27001 paso 5bis: si alguna área no tiene gaps, busca mejor 🙂
ISO 27001 paso 6: contrata a un consultor cualificado para una prueba de auditoria que harán los certificadores. Corrige todos los errores.
ISO 27001 paso 7: paga las fees de certificación y recibe a los auditores. Cruza dedos y sonríe! Si has hecho el trabajo, irá bien.
Iso 27001 paso 8: una vez certificado, no te duermas en los laureles. Lo difícil es mantener el nivel de seguridad. Imprescindible un buen ISMS.
ISO 27001 paso 9: si quieres hablar con alguien con experiencia positiva reciente, estoy a un email de distancia 🙂