Norma UNE ISO/IEC 27001

Norma UNE ISO/IEC 27001

Publicada el 15 de Octubre de 2005, la norma UNE-ISO/IEC 27001:2007 "Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos",es la norma principal de la serie ISO 27000 y contiene los requisitos del sistema de gestión de seguridad de la información.

Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la UNE-ISO/IEC 27002:2009 "Tecnología de la Información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información", para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

Ampliando información sobre 'Norma UNE ISO/IEC 27001'

Dentro de la familia de las normas ISO 27000 (Tecnología de la información - Técnicas de seguridad) se encuentran las siguiente normas:

  • ISO/IEC 27000:2012 Sistemas de información de gestión de seguridad - Información general y vocabulario
  • ISO / IEC 27001:2005 Sistemas de información de gestión de seguridad - Requisitos
  • ISO / IEC 27002:2005 Código de práctica para la gestión de seguridad de la información
  • ISO / IEC 27003:2010 Seguridad de la información del sistema de gestión - Guía de Implementación
  • ISO / IEC 27004:2009 Gestión de Seguridad de la información - Medición
  • ISO / IEC 27005:2011 Seguridad de la información de gestión de riesgo
  • ISO / IEC 27006:2011 Requisitos para los organismos que presten servicios de auditoría y certificación de sistemas de gestión de seguridad
  • ISO / IEC 27007:2011 Directrices para la auditoría de los los sistemas de gestión de seguridad de la información. Enfocada tanto a auditorías externas como internas.
  • ISO / IEC TR 27008:2011 Directrices para los auditores sobre los controles de seguridad de la información
  • ISO / IEC 27010:2012 Tecnología de la información - Técnicas de seguridad - Gestión de Seguridad de la Información para las comunicaciones entre los sectores y entre organizaciones
  • ISO / IEC 27011:2008 Información de las directrices de gestión de seguridad para las organizaciones de telecomunicaciones basadas en la norma ISO / IEC 27002
  • ISO / IEC 27013:2012 Directrices sobre la aplicación integral de la norma ISO / IEC 27001 e ISO / IEC 20000-1
  • ISO / IEC TR 27015:2012 Información de las directrices de gestión de seguridad para servicios financieros
  • ISO / IEC 27031:2011 Directrices para la preparación de la información y las comunicaciones para la continuidad del negocio
  • ISO / IEC 27032:2012 Directrices para la ciberseguridad

La norma ISO/IEC 27013:2012, de reciente publicación es un Guía para la implementación integrada de las normas ISO / IEC 27001 e ISO / IEC 20000-1, es decir nos ayuda a montar un sistema de gestión que integre un SGSI (Sistema de gestión de la Seguridad de la información) y un SGS (Sistema del Servicio), proporcionándonos las directrices necesarias para la aplicación integrada de ambas normas.Habitualmente en muchas organizaciones nos solemos encontrar que hay una estrecha relación entre la seguridad de la información y la gestión del servicio por lo que esta integración produce múltiples ventajas a la hora de adoptar los estándares: ISO/IEC 27001 para la seguridad de la información e ISO/IEC 20000-1 para la gestión del servicio.La norma ISO/IEC 27013:2012, Tecnología de la información - Técnicas de seguridad - Directrices para la aplicación integrada de las norma ISO/IEC 27001 e ISO/IEC 20000-1 (ISO/IEC 27013:2012, Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1), proporciona una guía enfocada a que se pueda utilizar tanto si:

  • Ya tenemos implantado alguno de los dos sistemas previamente y queremos implantar el otro.
  • Si ya tenemos los dos sistemas montados y queremos integrarlos.
  • Queremos realizar una implantación conjunta de ambas normas ISO/IEC 27001 e ISO/IEC 20000-1

Algunos de los beneficios de una aplicación integrada son:

  • Redución de costes al realizar un programa integrado.
  • Reducción de tiempos de ejecución debido al desarrollo integrado de los procesos comunes a ambas normas.
  • Eliminación de duplicaciones.
  • Facilita la comunicación y el entendimiento entre el personal de administración de los servicios y el personal de seguridad.

En que nos ayuda 'Norma UNE ISO/IEC 27001'

El hecho de implantar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:

  • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
  • Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
  • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
  • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
  • El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

¡Compártelo!