Normas ISO

Norma ISO 26000:

La denominada ISO 26000, que ofrece una guía en Responsabilidad Social Corporativa (RSC ó RSE). Está diseñada para ser utilizada por organizaciones de todo tipo, tanto en los sectores público como privado, en los países desarrollados y en desarrollo, así como en las economías en transición.

Para las organizaciones la sostenibilidad de los negocios significa no sólo el suministro de productos y servicios que satisfagan al cliente, haciéndolo sin poner en peligro el medio ambiente, sino también operar de una manera socialmente responsable.

La presión para hacerlo proviene de los clientes, consumidores, gobiernos, asociaciones y el público en general. Al mismo tiempo, líderes con visión de futuro reconocen que el éxito duradero debe basarse en prácticas de negocio creíbles y en la prevención de actividades, tales como la contabilidad fraudulenta y la explotación laboral.Esta norma ayuda a las organizaciones en su esfuerzo por operar de la manera socialmente responsable que la sociedad exige cada vez más.

Norma ISO 27005: Gestión del riesgo

Se trata, quizás, de una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título ISO/IEC 27005:2008 (Information technology, Security techniques, Information security risk management).

ISO/IEC 27005:2008 proporciona una guía para la gestión del riesgo en un sistema de seguridad de la información. Soporta los conceptos definidos en la ISO/IEC 27001 y está diseñado para ayudar a la implementación de un sistema de seguridad de la información basado en la gestión del riesgo.

El análisis del riesgo es crucial para el desarrollo y operación de un sistema de seguridad de la información. En esta etapa, la organización debe construir lo que será su “modelo de seguridad”, esto es, una representación de todos sus activos y sus dependencias jerárquicas, así como el mapa de amenazas (todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).

Sin embargo, este diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing cómo esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos síntomas o si los síntomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.

Norma ISO 30300

La norma ISO 30300 de gestión documental está previsto que se apruebe y publique a lo largo de este primer semestre de 2011. La gestión documental pasará entonces a ser un aspecto más a tener en cuenta en el funcionamiento orientado a la mejora continua de cualquier sistema organizacional.

La gestión de documentos, por tanto, adquirirá entidad propia; abandonará su rol meramente operativo para pasar a jugar un rol estratégico. A partir de la publicación de la ISO 30300, cualquier sistema integrado de gestión debería ser la suma de: calidad + medioambiente + seguridad de la información + prevención de riesgos laborales + gestión documental.

Uno de los aspectos característicos de las normas de rango Management System Standard(MSS) es que son certificables a través de una entidad certificadora acreditada. Así pues, la norma ISO 30300 Management Systems for Records también deberá serlo.A día de hoy se está trabajando en la aprobación de las dos primeras normas que formarán parte del conjunto de estándares de la norma ISO 30300 Management Systems for Records: ISO 30300 Management systems for records – Fundamentals and vocabulary, e ISO 30301 Management systems for records – Requirements.