El nombre me chocó la primera vez que lo oí, pero se trata de implantar a la vez la ISO 20000-1 y la ISO 27001 a la vez.

ISO47000

Para ello, parece necesario hacer un buen trabajo de consultoría, pero el esfuerzo, seguro que sale rentable.

El beneficio de certificarse conjuntamente en ambas normas se puede traducir en:

  • Optimizar los plazos
  • Optimizar el esfuerzo de las personas de la organización, existirá un punto en el que el pico será más alto, pero en la suma de todo, será menos
  • Y luego está el tema de costes. El coste de una única consultoría y el de la certificación conjunta siempre será menor que hacerlo independientemente

ISO/IEC 20000:2005-1

Se trata de la norma de referencia para la implantación de los principales procesos pertenecientes a ITIL. El alcance a de certificar servicios que se ofrecen desde el área de informática. Por lo que empezar conociendo el Catálogo de Servicios, siempre será un beneficio aunque la certificación realmente no lo exija.

Actualmente existe una versión 2011 actualizada, pero de momento las grandes certificadoras siguen certificando el modelo 2005.

ISO/IEC 27001:2005

La norma de referencia sobre seguridad informática. Realmente la implantación de la ISO 27001 no significa que el sistema sea más seguro, sino que la organización es consciente de los riesgos y los mantiene controlados.

La norma ISO27001 establece la necesidad de controlar el riesgo y poner en marcha una serie de controles de seguridad que aparecen en su anexo. En la norma sólo se menciona lo que se ha de hacer. El cómo. El verdadero conocimiento sobre las necesidades de seguridad, se encuentra en la ISO 27002, donde se describe la aplicación de los controles. Aunque esta ISO27002, no es certificable.

Sinergias entre ISO 20000 e ISO 27001

Obviamente estamos tomando dos Sistemas de Gestión para mantener controlados los Sistemas de Información, por lo que en muchos casos hablamos de lo mismo, aunque lo estemos contemplando desde diferentes perspectivas.

Al tratarse de Sistemas de Gestión (ISO 9001, ISO 14000, ISO 27001, etc.) todos requieren tener documentos como la Gestión Documental, Auditorías, Gestión de No conformidades, Mejora Continua,… Por lo que realizando ciertos matices, un consultor que conoce esto, no debería detectar mayor problema.

Luego el propio contenido de las normas identifica procesos similares, ejemplos:

  • Proceso de Gestión de Incidencias (ISO20000), se trata en el subconjunto de controles 13 de la ISO27001
  • El Proceso de Gestión de Cambios, se trata en los controles 10.1.2 Gestión de Cambios y 12.5.1 Procedimiento de Control de Cambios
  • etc.

Dejo pendiente para otro post, realizar una tabla con las sinergias, de cara a consultores y organizaciones que se planteen esto de implantar la ISO 47000.