ISO 27001

¿Qué es ISO 27001?

ISO 27001 (formalmente conocida como ISO / IEC 27001: 2005) es una especificación para un sistema de gestión de seguridad de la información (SGSI). Un SGSI es un marco de políticas y procedimientos que incluye todos los controles legales, físicos y técnicos involucrados en los procesos de gestión de riesgos de la información de una organización.

Según su documentación, la norma ISO 27001 fue desarrollada para "proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información".

ISO 27001 utiliza un enfoque de arriba hacia abajo, basado en el riesgo y es tecnológicamente neutral. La especificación define un proceso de planificación de seis partes:

  1. Defina una política de seguridad.
  2. Definir el alcance del SGSI.
  3. Realice una evaluación de riesgos.
  4. Gestione los riesgos identificados.
  5. Seleccione los objetivos de control y los controles que se implementarán.
  6. Prepare una declaración de aplicabilidad.

La especificación incluye detalles para la documentación, la responsabilidad de la gestión, las auditorías internas, la mejora continua y las acciones correctivas y preventivas. El estándar requiere la cooperación entre todas las secciones de una organización.

La norma 27001 no exige controles específicos de seguridad de la información, pero proporciona una lista de verificación de los controles que deben considerarse en el código de práctica adjunto, ISO / IEC 27002: 2005. Este segundo estándar describe un conjunto completo de objetivos de control de seguridad de la información y un conjunto de controles de seguridad de buenas prácticas generalmente aceptados.

ISO 27002 contiene 12 secciones principales:

1. Evaluación de riesgos
2. Política de seguridad
3. Organización de la seguridad de la información
4. Gestión de activos
5. Seguridad de los recursos humanos
6. Seguridad física y ambiental
7. Gestión de comunicaciones y operaciones
8. Control de acceso
9. Adquisición, desarrollo y mantenimiento de sistemas de información
10. Gestión de incidentes de seguridad de la información
11. Gestión de la continuidad de las operaciones
12. Conformidad

Se requiere que las organizaciones apliquen estos controles de manera apropiada de acuerdo con sus riesgos específicos. Se recomienda la certificación acreditada por terceros para la conformidad con ISO 27001.

Otros estándares que se están desarrollando en la familia 27000 son:

  • 27003 - guía de implementación.
  • 27004: un estándar de medición de la gestión de la seguridad de la información que sugiere métricas para ayudar a mejorar la eficacia de un SGSI.
  • 27005: un estándar de gestión de riesgos de seguridad de la información. (Publicado en 2008)
  • 27006 - una guía para el proceso de certificación o registro para organismos de certificación o registro de SGSI acreditados. (Publicado en 2007)
  • 27007 - Directriz de auditoría del SGSI.