Saltar al contenido principal
ISO 9001

¿Cómo integrar las normas ISO 9001 e ISO 27001?

ISO 9001

ISO 9001

La norma ISO 27001 es una de las norma con una mayor rapidez de crecimiento en el mundo. Se observa que muchas empresas tienen una necesidad de seguridad de la información con un mayor uso de la tecnología de la información, las nubes, etc. Si ya ha implementado  la norma ISO 9001 y desea implementar la norma ISO 27001, o piensa utilizar ambas normas a la vez, el mejor enfoque es crear un Sistema de Gestión integrado (SGI). Este Sistema de Gestión Integrado debe de cumplir con los requisitos de ambas normas. Esto ahorrará una gran cantidad de tiempo en la ejecución. Además también disminuirá el esfuerzo de mantener el sistema y lograr el cumplimiento continuo con ambos estándares.

Comenzar con el terreno común

La clave para el ahorro de tiempo y esfuerzo es una buena planificación. El proyecto de implementación no debe basarse únicamente en el estado actual de su organización. O en términos de cumplimiento de los requisitos de estas dos normas. Sino también en la detección de accesos directos y maduros. Algunos de los aspectos más importantes donde se puede acelerar la aplicación son los siguientes requisitos comunes de ambas normas:

  • Contexto de la Organización. Ambas normas requieren la identificación de los problemas internos y externos a la empresa, pero desde diferentes perspectivas. ISO 9001 se centra en la calidad e ISO 27001 se centra en la seguridad de la información.
  • Partes interesadas y requisitos. La organización tendrá que determinar las partes interesadas y los requisitos relacionados con la calidad y seguridad de la información. Estos requisitos pueden ser abordados con el mismo proceso. Es buena idea crear una lista integrada de las partes interesadas.
  • Responsabilidad y autoridad para ser identificados. Los roles y responsabilidades dentro del SGC y del SGSI son diferentes, pero de nuevo, deben ser definidos. Esto se puede llevar a cabo de la misma manera.
  • Competencia, sensibilización, comunicación, control del sistema de documentos y registros. Todos estos requisitos son comunes no sólo por la norma ISO 9001 e ISO 27001, sino para otras normas también. Por tanto pueden abordarse de la misma manera y al mismo tiempo.
  • Auditoría interna y revisión de la dirección. Por supuesto, los requisitos para ser auditados y las entradas y salidas de revisión son diferentes. Pero la forma en que se lleva a cabo el proceso es la misma. Dependiendo del tamaño y la complejidad de la empresa y sus procesos, la auditoría interna o revisión de la dirección se pueden hacer al mismo tiempo o por separado.
  • Ambos requieren sistemas para acciones correctivas y de no conformidad. El proceso de tratamiento de las no conformidades y acciones correctivas puede ser el mismo para ambos estándares. No hay ninguna razón aparente para separarlos.

 

Con todos estos elementos comunes, parece lógico mantener un sistema para cada elemento común. Debe tenerse en cuenta que, si bien algunos requisitos parecen iguales y pueden ser cubiertos con el mismo proceso, no significa que vayan a tener los mismos resultados para ambos estándares. El enfoque de la norma ISO 9001 es sobre los productos y servicios de calidad y la satisfacción del cliente. Mientras que la ISO 27001 se centra en la seguridad de la información. Por lo tanto, los resultados de la revisión de la dirección, así como las entradas serán diferentes. Y lo mismo ocurre con la mayor parte de las cláusulas comunes mencionadas anteriormente.

 

Requisitos adicionales de la norma ISO 27001

Las diferencias entre las normas útilmente se complementan entre sí, lo cual contribuye decisivamente a aumentar el éxito del negocio. La seguridad de la información asegura el potencial de la compañía y la gestión de calidad lo crea. Después de abordar las necesidades comunes de las normas, la empresa debe hacer frente a sus diferencias que están en su mayoría presentes en las cláusulas 6 y 8. La norma ISO 27001 añade lo siguiente en el Sistema de Gestión Integrado:

  • Evaluación de los riesgos de seguridad de información. La organización tiene que desarrollar una metodología para la identificación y evaluación de riesgos de seguridad de la información. Este proceso no debe ser mezclado con abordar los riesgos y oportunidades en la norma ISO 9001. Pues el segundo tiene menos requisitos y aplicar la misma metodología puede ser abrumador e improductivo en la ISO 9001.
  • Información sobre el tratamiento de riesgos de seguridad. Este proceso no tiene un elemento común en la ISO 9001, por lo que se puede hacer de forma independiente. Esto requiere que la organización aplique uno o varios controles de seguridad de la información catalogados en el Anexo A de la ISO 27001.

 

Software ISO 9001

Con el objetivo de controlar de una manera fácil y eficaz el desarrollo del Sistema de Gestión de Calidad bajo la norma ISO 9001, las empresas hacen uso del Software ISOTools Excellence, que permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.

Guía de implementación para la ISO 9001
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba