Saltar al contenido principal

diferencias entre ISO 31000 e ISO 27001

Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001

Inicio / Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001

Si bien para implementar ISO 27001 sea preciso hacer uso de ISO 31000 lo cierto es que la primera puede resultar muy útil para la aplicación de la segunda a pesar de que existen muchas diferencias entre ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 270001

ISO 31000

ISO 31000 nos entrega directrices acerca de la forma de gestionar los riesgos – de cualquier tipo – en las organizaciones, sin concentrarse en la seguridad de la información ya que también aborda la continuidad de negocio, el mercado, e incluso riesgos operacionales.

Igualmente, la norma, nos entrega un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo PDCA (Planificación, ejecución, seguimiento y mejora), para la gestión del riesgo.

ISO 31000 no proporciona metodologías específicas o exclusivas, ya que el tratamiento del riesgo es general. Aborda cualquier tipo de riesgos y no profundiza en ninguno de ellos.

Haz click aquí y descárgate el Whitepaper: Las claves del Éxito en la Gestión  de Riesgos

ISO 27001

ISO 27001 es un estándar especializado en el tema de la seguridad de la información, lo que significa que una organización debe establecer procesos que le permitan salvaguardar, controlar, almacenar su información gestionando cualquier riesgo que pudiese afectarla eventualmente.

Pero entonces, conociendo las diferencias entre ISO 31000 e ISO 27001, ¿Cuál es la relación entre ISO 31000 e ISO 27001? ¿Por qué, muchas organizaciones creen que una es indispensable para la aplicación de la otra? Veamos:

Relación entre ISO 31000 e ISO 27001

La duda surge de la actualización 2013 de ISO 27001 en la que se menciona el estándar ISO 31000. Y surge particularmente porque, la versión 2005 de la norma no hacía esta referencia.

Pero ¿Qué es lo que dice exactamente?  Veamos

“Cláusula 4.1 La organización puede considerar los contextos externos e internos de acuerdo con la cláusula 5.3 de la norma ISO 31000”. Por supuesto, si leemos con detalle las cláusulas 5.3.2 y 5.3.3 de ISO 31000 entendemos que son muy útiles, ya que nos proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos.

Pero por supuesto, es bueno tener en cuenta que esta mención es hecha en una nota, lo que indica que no son directrices obligatorias. Es solo un punto de referencia.

Por otra parte, en la cláusula 6.1.3 de ISO 27001 nos dice que “la Gestión de la Seguridad de la información, está alineada con la norma ISO 31000”. Es claro que esto no significa que un estándar se convierta en requisito esencial del otro. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre ISO 31000 e ISO 27001.

Gestión de Riesgos: principales diferencias entre #ISO31000 e #ISO27001 Share on X

Diferencias entre ISO 31000 e ISO 27001 – Las normas frente a frente

Como ya lo hemos advertido, ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la Seguridad de la información y la Gestión de tales riesgos. Por el contrario, ISO 27001 si lo hace y de una forma sobresaliente.

ISO 27001 proporciona el Know-how necesario para identificar activos, amenazas y vulnerabilidades, pero también para evaluar las consecuencias de un determinado riesgo y calcular su probabilidad de ocurrencia.

Es claro que no necesitamos ISO 31000 para implementar ISO 27001. Lo anterior no significa que ISO 31000 no resulte de utilidad, sobre todo para identificar contextos externos e internos y para obtener un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la organización.

Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la Gestión de Riesgos de forma estratégica y global, podemos considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en asocio – no dependencia – de cualquier otra norma, incluida por supuesto ISO 27001.

Software ISOTools Excellence

La plataforma tecnológica ISOTools Excellence ayuda a las organizaciones a implementar y administrar con éxito y de forma oprtimizada Sistemas de Gestión de Riesgos basados en las normas ISO 31000 e ISO 27001.

Para ello, incorpora una completa funcionalidad orientada a facilitar y mejorar la eficiencia de la gestión en el día a día así como aplicativos específicos para la gestión de procesos, gestión de riesgos, evaluación del Sistema, activación y ejecución de acciones de mejora así como indicadores e información en tiempo real para la toma de decisiones.

Solicite ahora que uno de nuestros consultores expertos se ponga en contacto con usted para conocer cómo puede optimizar la gestión en su organización.

Haz click aquí y descárgate el Whitepaper: Las claves del Éxito en la Gestión  de Riesgos

¿Desea saber más?

Entradas relacionadas

Volver arriba