¿Qué es el Registro de Empresas Certificadas ISO 27001?

Se trata de un servicio público y gratuito que buscar fomentar implantación del estándar de referencia para la Gestión de Seguridad de la Información.

Los objetivos de esta iniciativa son:

• Promover la imagen de las empresas que han implementado mejores prácticas en Seguridad de la Información, apoyadas en el estándar internacional ISO 27001.
• Incentivar la certificación de los Sistemas de Gestión de Seguridad de la Información en las empresas.
• Extender la visibilidad y el reconocimiento a las empresas certificadas con el fin de que se les identifique como referentes en su actividad económica.
• Mantener la guía de referencia más actualizada de la realidad de la certificación en la norma ISO 27001 en España.
• Establecer estadísticas españolas sobre ISO 27001. (empresas certificadas, entidades de certificación, provincias, comunidades autónomas, entre otras).

La certificación del Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001, permite a una organización posicionarse con un valor añadido en la prestación de sus servicios. En este Registro figurarán estas organizaciones que velen por mantener sus operaciones y la prestación de sus servicios alineados con las buenas prácticas de Seguridad de la Información.

La iniciativa se alinea distintos instrumentos estratégicos y normativos que promueve las certificaciones como mecanismos para la generación de Confianza y las gestión de riesgos como pilar del cumplimiento:

• Estrategia Europea de Ciberseguridad: “La comisión europea invita a los involucrados públicos y privados a: Estimular el desarrollo y la adopción de estándares de seguridad, normas técnicas y principios de seguridad por diseño y privacidad por diseño…” (1)
• Estrategia Europea de Cloud: “El nuevo marco legal proveerá las condiciones necesarias para la adopción de códigos de conducta y estándares para la nube, donde los involucrados vean la necesidad de esquemas de certificación para verificar que el proveedor ha implementado los controles de seguridad para transferencias de datos y estándares de seguridad de tecnologías para información.” (2)
• Propuesta de Reglamento General de Protección de Datos: “Con objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Estas medidas deben garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos y la naturaleza de los datos que deban protegerse…” (3)
• Propuesta de Directiva de Seguridad de las Redes y de la Información: “…los Estados miembros fomentarán la utilización de las normas y especificaciones pertinentes en materia de seguridad de las redes y la información.” (4)
• Agenda Digital: “…se fomentará que las organizaciones adopten códigos voluntarios de buenas prácticas y lo acrediten mediante esquemas de certificación, evaluación o clasificación de reconocimiento internacional y que garanticen la unidad de mercado.” (5)

1 Numeral 24, página 13 de la Estrategia Europea de Ciberseguridad
(http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1667)

2 Numeral 3.1, página 8 de la Estrategia Europea de Cloud Computing

3 Considerando 66, página 31 de la Propuesta del Nuevo Reglamento de Protección de Datos
(http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF)

4 Artículo 16, página 28 de la Propuesta de Directiva de Seguridad de las Redes y de la Información
(http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0048:FIN:ES:PDF)

5 Numeral 4.3, página 42 de la Agenda Digital para España
(http://consulta.agendadigital.gob.es/images/doc/Agenda_Digital_para_Espana.pdf)