Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este artculo o seccin necesita referencias que aparezcan en una publicacin acreditada,
como revistas especializadas, monografas, prensa diaria o pginas de Internet fidedignas. Este
aviso fue puesto el 14 de septiembre de 2011.
Puedes aadirlas o avisar al autor principal del artculo en su pgina de discusin
pegando: {{subst:Aviso referencias|ISO/IEC 27001}} ~~~~
ISO/IEC 27001 es un estndar para la seguridad de la informacin (Information technology Security techniques - Information security management systems - Requirements) aprobado y
publicado como estndar internacional en octubre de 2005 por International Organization for
Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema
de gestin de la seguridad de la informacin (SGSI) segn el conocido como Ciclo
de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 27002, anteriormente conocida
como ISO/IEC 17799, con orgenes en la norma BS 7799-2:2002, desarrollada por la entidad
de normalizacin britnica, la British Standards Institution(BSI).
ndice
[ocultar]
1Estructura
2Evolucin
3ISO 27001:2013
5Implantacin
6Certificacin
7Serie 27000
8Referencias
9Otros SGSI
9.1SOGP
9.2ISM3
9.3COBIT
10Vase tambin
11Enlaces externos
Estructura[editar]
Colombia
La versin actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el
Instituto Colombiano de Normas y Tcnicas y Certificacin ICONTEC. 1 . Dicha norma es una
adopcin idntica (IDT) por traduccin de la norma ISO/IEC 27001:2013. 1
Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre
los cuales se encuentran:
1. Objeto y campo de aplicacin: Especifica la finalidad de la norma y su uso dentro de
una organizacin.
2. Referencias normativas
3. Termino y definiciones: Los trminos y definiciones usados se basan en la norma
ISO/IEC 27000.
4. Contexto de la organizacin: Se busca determinar las necesidades y expectativas
dentro y fuera de la organizacin que afecten directa o indirectamente al sistema de
gestin de la seguridad de la informacin. Adicional a esto, se debe determinar el
alcance.
5. Liderazgo: Habla sobre la importancia de la alta direccin y su compromiso con el
sistema de gestin, estableciendo polticas, asegurando la integracin de los
requisitos del sistema de seguridad en los procesos de la organizacin, as como los
recursos necesarios para su implementacin y operabilidad.
6. Planificacin: Se deben valorar, analizar y evaluar los riesgos de seguridad de
acuerdo a los criterios de aceptacin de riesgos, adicional mente se debe dar un
tratamiento a los riesgos de la seguridad de la informacin. Los objetivos y los planes
para logar dichos objetivos tambin se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organizacin, la competencia
de personal, la toma de conciencia por parte de las partes interesadas, la importancia
sobre la comunicacin en la organizacin. La importancia de la informacin
documentada, tambin se trata en este punto.
8. Operacin: El como se debe planificar y controlar la operacin, as como la valoracin
de los riesgos y su tratamiento.
9. Evaluacin de desempeo: Debido a la importancia del ciclo PHVA (Planificar, Hacer,
Verificar, Actuar), se debe realizar un seguimiento, medicin, anlisis y evaluacin del
sistema de gestin de la informacin.
10. Mejora: Habla sobre el tratamiento de las no conformidades, las acciones correctivas
y a mejora continua.
La segunda parte, esta conformada por el anexo A, el cual establece los objetivos de control y
los controles de referencia.1
Evolucin[editar]
Espaa
En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el comit tcnico
AEN/CTN 71. Es una adaptacin nacional de la norma britnica British Standard BS 77992:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de
estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
ISO 27001:2013[editar]
Existen varios cambios con respecto a la versin 2005 en esta versin 2013. Entre ellos
destacan:
Inclusin de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes
relaciones entre empresa y proveedor en la nube.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los
clientes que la seguridad de su informacin es primordial.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las
recomendaciones de la norma del cdigo profesional, ISO/IEC 27002 no logran estas ventaja
Implantacin[editar]
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una
duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar
sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En general, es
recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de
informacin y sus procesos de trabajo a las exigencias de las normativas legales de
proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el
ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley
Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la
seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de todas las
reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y
asesorado por consultores externos especializados en seguridad informtica generalmente
Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas
tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que
hayan realizado un curso de implantador de SGSI).
Certificacin[editar]
La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin
externa, independiente y acreditada audita el sistema, determinando su conformidad con
ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el
correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran
certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001
en su primera certificacin con xito o mediante su recertificacin trienal, puesto que la
certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad
de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO 9001:2000 y con
el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el
punto de poder llegar a certificar una organizacin en varias normas y con base en un sistema
de gestin comn.
Serie 27000[editar]
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares
ISO/IEC:
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y
de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del
riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin
de entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
Referencias[editar]
Otros SGSI[editar]
SOGP[editar]
Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of
Good Practice" (SOGP). Este SGSI es ms una "best practice" (buenas prcticas), basado en
las experiencias del ISF.
ISM3[editar]
Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3)
est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e
informacin general de conceptos de seguridad de los gobiernos.
ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC
27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas de proceso.
COBIT[editar]
En el caso de COBIT, los controles son an ms amplios que en la ISO-IEC 27001. La versin
ms actual es la COBIT 5.