ISO 31000 – Gestión del Riesgo

ISO 31000 – Gestión del Riesgo

ISO 31000 señala una familia de normas sobre Gestión del riesgo en normas codificadas por la organización International Organization for Standardization. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.

En la actualidad, la familia ISO 31000 incluye:

li ISO 31000:2009 – gestión de riesgos – principios y directrices

li ISO/IEC 31010 – gestión de riesgos – evaluación del riesgo2 evaluación técnicas del riesgo

li ISO Guide 73:2009 – gestión de riesgos–vocabulario Gestión

Alcance

El propósito de la norma ISO 31000:2009 es aplicar y adaptar al público, cualquier empresa pública o privada, comunidad, asociación, grupo o individuo.

Es importante aclarar que esta norma no tiene un propósito de certificación, ya que mas bien aporta ciertas directrices para la implementación de una cultura organizacional y ademas puede ser de gran utilidad para un sistema de gestión ISO 9001 2015.

Nueva definición de riesgo

La nueva definición abandona la visión del ingeniero (“‘ el riesgo es la combinación de la probabilidad del evento y sus consecuencias”) para vincular los riesgos a los objetivos de la organización: “‘ el riesgo es el efecto de la incertidumbre sobre los objetivos”

Los 11 principios de gestión de riesgos

1. “la gestión del riesgo crea valor y la reserva”…

La gestión del riesgo tangiblemente contribuye al logro de los objetivos y mejorar el desempeño de la organización, a través de la revisión de su sistema de gestión y sus procesos.

2 “gestión del riesgo se integra en los procesos organizacionales”.

La gestión del riesgo debe integrarse en el sistema de gestión existentes tanto a nivel estratégico y operativo.

3 ‘ del riesgo gestión está integrada en la decisión de hacer del proceso.

La gestión del riesgo es una ayuda de decisión para las opciones discutidas, para establecer prioridades y seleccionar las acciones más apropiadas

4. “la gestión del riesgo aborda explícitamente la incertidumbre”.

Mediante la identificación de riesgos potenciales, la organización puede aplicar reducción de herramientas y el riesgo de financiamiento con el objetivo de maximizar las posibilidades de éxito y minimizar la pérdida de oportunidades.

5. “la gestión del riesgo es sistemática, estructurado y utilizado en forma oportuna”.

Los procesos de gestión de riesgo deben ser coherentes en toda la organización para asegurar la efectividad, relevancia, consistencia y fiabilidad de los resultados.

6. “la gestión del riesgo se basa en la mejor información disponible”.

Eficaz de gestión de riesgos, es importante considerar y entender toda la información disponible y relevante para una actividad, reconociendo las limitaciones de los datos y los modelos utilizados

7. “la gestión del riesgo es conveniente”.

La gestión de los riesgos de una organización se debe adaptar según los recursos disponibles – recursos de personal, finanzas y tiempo – así como su ambiente interno y externo

8. “la gestión del riesgo integra factores humanos y culturales”.

La gestión del riesgo debe reconocer la contribución de los individuos y los factores culturales para el logro de los objetivos de la organización.

9. “la gestión del riesgo es transparente y participativa”.

Al involucrar a las partes interesadas pertinentes, interna y externa, durante el proceso de gestión del riesgo, la organización reconoce la importancia de la comunicación y consulta en las etapas de identificación, evaluación y tratamiento de riesgos.

10 “la gestión del riesgo es dinámica, iterativa y sensible para cambiar”.

La gestión del riesgo debe ser flexible. El entorno competitivo requiere la organización para adaptarse al contexto interno y externo, especialmente cuando nuevos riesgos aparecen, ciertos riesgos se cambian, mientras que otros desaparecen.

11. “la gestión del riesgo facilita la mejora continua de la organización”.

Las organizaciones con una madurez en la gestión de riesgo son aquellos que invierten a largo plazo y demostrar la normal realización de sus objetivos.

 

untitled-2 Cloud Computing – 100% web
Desde un navegador de internet
24 x 365 días
untitled-3 Acceso desde múltiples dispositivos
PC, Tabletas, SmartPhone
Auditoría Colaborativa
untitled-4 Comunicación automática
Alertas y Notificaciones
untitled-5 Seguridad – Nivel Home Banking
Su información asegurada
Visualización por empresa
untitled-6 Multilenguaje
Etiquetas y contenido ingresado
según el idioma de cada usuario
untitled-7 Fácil de Implementar
100% configurable
Mínima capacitación

Integración iWeb

cestpmcep

ISO/IEC 27000 – Seguridad de la Información

ISO/IEC 27000 – Seguridad de la Información

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional(IEC).

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen:

  • ISO/IEC 27000 – es un vocabulario estándar para el SGSI. Introducción y base para el resto. Tercera versión: enero de 2014.
  • ISO/IEC 27001 – es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005. Revisada en setiembre de 2013.
  • ISO/IEC 27002 – Information technology – Security techniques – Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Última versión: 27002:2013, de setiembre de 2013.
  • ISO/IEC 27003 – son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de 2010. No es certificable.

  • ISO/IEC 27004 – son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente.

  • ISO/IEC 27005 – trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008. Revisada en junio de 2011.

  • ISO/IEC 27006 – Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. Publicada en 2007 y revisada en diciembre de 2011 y setiembre de 2015.

  • ISO/IEC 27007 – es una guía para auditar al SGSI. Publicada en noviembre de 2011.

  • ISO/IEC 27016 – es una norma que se concentra en un análisis financiero y económico de equipos y procedimientos de la seguridad de la información. Publicada en febrero de 2014.

  • ISO/IEC 27017 – es una guía de seguridad para Cloud Computing. Publicada en diciembre de 2015.

  • ISO/IEC 27035:2011 – Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad. Este standard hace foco en las actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades. Publicada en agosto de 2011. (1)

  • ISO/IEC 27799:2008 – es una guía para implementar ISO/IEC 27002 en la industria de la salud.

untitled-2 Cloud Computing – 100% web
Desde un navegador de internet
24 x 365 días
untitled-3 Acceso desde múltiples dispositivos
PC, Tabletas, SmartPhone
Auditoría Colaborativa
untitled-4 Comunicación automática
Alertas y Notificaciones
untitled-5 Seguridad – Nivel Home Banking
Su información asegurada
Visualización por empresa
untitled-6 Multilenguaje
Etiquetas y contenido ingresado
según el idioma de cada usuario
untitled-7 Fácil de Implementar
100% configurable
Mínima capacitación