| 25 años generando CONFIANZA
Índice de contenidos
ToggleISO 27000
La Organización Internacional de Estandarización (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000.
Cada norma tiene reservado un número dentro de una serie que van desde ISO 27000 hasta ISO 27019 y de ISO 27030 a ISO 27044. Vamos a realizar un repaso por todas las normas de la serie:
Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie ISO 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.
ISO 27001
La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie, ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados, ya que no es obligatorio.
ISO 27002
Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.
ISO 27003
Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.
ISO 27004
En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo deming.
ISO 27005
La ISO 27005 establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.
ISO 27006
Este estándar específico todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.
ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional, el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
ISO 27011
Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).
ISO 27031
Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del negocio.
ISO 27032
Es un texto relativo a la ciberseguridad. Se trata de un estándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO 27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos.
ISO 27033
Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red.
Consiste en 7 partes:
- Gestión de seguridad de redes.
- Arquitectura de seguridad de redes.
- Marcos de redes de referencia.
- Aseguramiento de las comunicaciones entre redes mediante gateways.
- Acceso remoto.
- Salvaguardia de comunicaciones en redes mediante VPN.
- Diseño e implementación de seguridad en redes.
ISO 37034
Es una guía de seguridad en aplicaciones.
ISO 27799
Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27, sino que la lleva a cabo el comité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la información por las empresas del sector sanitario.
SGSI
Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que permiten a las organizaciones garantizar que todos los activos de la empresa están siendo manipulados adecuadamente y que no hay riesgos de fugas de información.
Para saber más sobre otros sistemas de gestión de riesgo y seguridad puedes visitar: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...