ISO/IEC 27001 la gran familia de normas ISO/IEC 27000, es un sistema de gestión de seguridad de la información (SGSI), norma publicada en octubre de 2005 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional.
ISO/IEC 27001 especifica formalmente un sistema de gestión que se pretende aportar seguridad de la información bajo el control explícito de la dirección. Al ser una especificación formal significa que en ella se prevén requisitos específicos. Organizaciones que dicen han adoptado, por tanto, la norma ISO/IEC 27001 que puede ser auditada y certificada conforme a la norma y certificado estándar.
Como trabaja la estándar
La mayoría de las organizaciones tienen una serie de controles de seguridad de la información. Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), los controles tienden a ser un poco desorganizados y desarticulados, después de haber puesto en práctica a menudo como soluciones puntuales a situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en el funcionamiento suelen abordar ciertos aspectos de TI y seguridad de datos específicos; dejando a los activos de información que no son de TI (tales como trámites y conocimiento de propiedad) menos protegidas en su conjunto. Por otra parte, la planificación de continuidad de negocio y la seguridad física pueden ser manejados con total independencia de TI o información de seguridad a la vez que las prácticas de los Recursos Humanos pueden hacer poca referencia a la necesidad de definir y asignar roles y responsabilidades de seguridad de la información en toda la organización.
ISO / IEC 27001 requiere que la gestión:
- examinar sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;
- Diseñar e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y/u otras formas de tratamiento del riesgo (tales como la cobertura de riesgos o de transferencia de riesgo) para hacer frente a los peligros que se consideran inaceptables; y
- Adoptar un proceso muy importante de gestión para asegurar que los controles de seguridad de la información sigan satisfaciendo las necesidades de seguridad de información de la organización sobre una base continua.
Mientras que otros grupos de controles de seguridad de la información potencialmente pueden ser utilizados dentro de una norma ISO/IEC 27001 SGSI, así como, o incluso en lugar de la norma ISO/IEC 27002 (Código de Prácticas para la Gestión de Seguridad), estas dos normas se utilizan normalmente juntas, en la práctica. Anexo A de la norma ISO / IEC 27001 breve muestra los controles de seguridad de la información ISO / IEC 27002, mientras que la ISO / IEC 27002 proporciona información adicional y asesoramiento sobre la ejecución de los controles.
Las organizaciones que implementan un conjunto de controles de seguridad de la información de conformidad con la norma ISO/IEC 27002 son al mismo tiempo probables para satisfacer muchos de los requisitos de la norma ISO/IEC 27001, pero pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, un certificado de cumplimiento de ISO/IEC 27001 proporciona la seguridad de que el sistema de gestión de seguridad de la información está en su lugar, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización. Los controles técnicos de seguridad, como antivirus y firewalls no son auditados normalmente con esta norma: la organización presume de haber adoptado todos los controles de seguridad de la información necesaria, ya que el ISMS en general está en su lugar y se considera adecuada mediante el cumplimiento de los requisitos de la norma ISO/IEC 27001. Por otra parte, la administración determina el alcance del SGSI a efectos de certificación y puede limitarlo a, por ejemplo, una única unidad de negocio o ubicación. El certificado ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera de la zona restringida, tenga un enfoque adecuado para la gestión de seguridad de la información.
Otras normas de la familia de la ISO/IEC 27000 proporcionan una guía adicional sobre determinados aspectos de diseño, implementación y operación de un SGSI, por ejemplo, en la gestión de riesgos de seguridad de la información (ISO / IEC 27005).
was accredited by IAS
|