Information security management systems certification



Information security management

An essential requirement

Information, one of the main assets of organizations, requires suitable protection systems in the face of any risk that can put in jeopardy the continuity of the business.

At the present time companies face more and more risks and insecurities coming from a wide range of sources that can cause a considerable damage to their information systems:
  • physical risks, like fires, floods, acts of sabotage, vandalisms, and illegal and undesired access.
  • logic risks, like the computer fraud, the computer espionage, damages by virus, attacks of intrusion or denial of services.
According to these circumstances it is essential for companies to evaluate the associated risks and to establish the suitable strategies and controls that ensure a permanent protection and safeguard of the information.

An effective information security management allows to guarantee:
  • its confidentiality, ensuring that only the authorized persons can have access to the information,
  • its integrity, ensuring that the information and its process methods are exact and complete, and
  • its availability, ensuring that the authorized users have access to the information and its associated assets when required.
The availability, integrity and confidentiality of the information are essential aspects so that the organization maintains the level of competitiveness, yield, fulfilment of the legality and corporate image.

Information Security Management System certification

The Information Security Management System certification of AENOR contributes to promote the activities of protection of the information in organizations, improving their image and generating confidence in view of other companies.

AENOR carries out this certification according to the Spanish Standard: UNE 71502:2004, which establishes the requirements to implement, to document and to evaluate an Information Security Management System, within the risks identified by organizations according to UNE-ISO/IEC 17799:2002 standard, which develops a code of good practices for the information security management.

The requirements of UNE 71502:2004 Standard are complementary to those of any other implemented management system, as ISO 9001 quality management, or ISO 14001environmental management.

The AENOR Certification allows the company to demonstrate that a suitable set of controls to ensure the confidentiality, integrity and availability of its information system has been implemented.

Benefits of the implementation of the system

The Information Security Management System implementation according to UNE 71502:2004 standard allows organizations, regardless of their size or economic sector in which they carry out their activities:
  • To know and to analyse its risks, identifying threats, vulnerabilities and impacts in the enterprise activity
  • To prevent, to eliminate or to reduce, in an effective way, the level of risk by means of the implementation of appropriate controls, getting prepared for possible emergencies and guaranteeing the continuity of the business.
  • To ensure their commitment by the fulfilment of the legislation in force on personal data protection, the information society services, electronic commerce, intellectual property and, in general, that related to the information security.
  • To plan, to organize and to structure the assigned resources to information security.
  • To define objectives and goals that allow to increase the degree of confidence in the security
  • To establish processes and activities of revision, continuous improvement and audit of the management and data processing.
  • To integrate the information security management with the rest of implemented management systems in the company.
  • To contribute an additional added value regarding information protection, thus improving its image in view of other organizations and becoming a remarkable spotlight compared with competitors.


Certificación de sistemas de gestión de la seguridad de la información

La gestión de la seguridad de la información

Un requisito esencial

La información, uno de los principales activos de las organizaciones, requiere de sistemas de protección adecuados ante cualquier amenaza que pueda poner en peligro la continuidad del negocio.

En la actualidad las empresas se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma importante sus sistemas de información:
  • riesgos físicos, como incendios, inundaciones, sabotajes, vandalismos, accesos indebidos e indeseados, y
  • riesgos lógicos, como el fraude informático, el espionaje, daños por virus informáticos, ataques de intrusión o denegación de servicios.
Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos asociados y establezcan las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la información.

Una gestión eficaz de la seguridad de la información permite garantizar:

  • su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información,
  • su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, y
  • su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
La disponibilidad, integridad y confidencialidad de la información son aspectos esenciales para que la organización mantenga su nivel de competitividad, rentabilidad, cumplimiento de la legalidad e imagen comercial.

Certificación del sistema de gestión de la seguridad de la información

La Certificación del Sistema de Gestión de la Seguridad de la Información de AENOR contribuye a fomentar las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros.

AENOR lleva a cabo esta certificación conforme con la Norma UNE 71502:2004, que establece los requisitos para implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información, dentro de los riesgos identificados por las organizaciones de acuerdo con la Norma UNE-ISO/IEC 17799:2002, que desarrolla un código de buenas prácticas para la gestión de la seguridad de la información.

Los requisitos de la Norma UNE 71502:2004 son complementarios a los de cualquier otro sistema de gestión implantado, tal como gestión de la calidad ISO 9001 o gestión medioambiental ISO 14001.

La Certificación de AENOR permite a la empresa demostrar que ha implantado el conjunto de controles adecuados para asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Beneficios de la implantación del sistema

La implantación de un Sistema de Gestión de Seguridad de la Información según la Norma UNE 71502:2004 permite a las organizaciones, independientemente de su tamaño o sector económico en el que realicen su actividad:
  • Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
  • Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.
  • Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general, aquella relacionada con la seguridad de la información.
  • Planificar, organizar y estructurar los recursos asignados a seguridad de la información.
  • Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.
  • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información.
  • Integrar la gestión de la seguridad de la información con el resto de sistemas de gestión implantados en la empresa.
  • Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia.


AENOR INTERNACIONAL