NORMA ISO/IEC

27001
Planes y Respuestas a Contingencias
Ing. Mara Guadalupe Njera Lozano
Virginia Martinez Ruvalcaba 11430098

Introduccin
La informacin es un activo que
como otros activos importantes
tiene valor y requiere en
consecuencia una proteccin
adecuada. Para la adecuada
gestin de la seguridad de la
informacin,
es
necesario
implantar un sistema que aborde
esta tarea de una forma metdica,
documentada y basada en unos
objetivos claros de seguridad que
a su vez haga una evaluacin de
los riesgos a los que est sometida
la informacin de la organizacin.

 Qu es una Norma ?
Una norma es una especificacin tcnica

Elaborada con participacin de todos los sectores involucrados

Aprobada por consenso

Su objetivo es el beneficio a la comunidad

Est a disposicin de todos los interesados

Es elaborada y publicada por un organismo de normalizacin reconocido

Antecedentes

Es una familia de estndares internacionales

para Sistemas de Gestin de la Seguridad de
la Informacin (SGSI).
Requisitos para la especificacin de sistemas de
gestin de la seguridad de la informacin

Proceso del anlisis y gestin del riesgo

Mtricas y medidas de proteccin
Guas de implantacin
Vocabulario claramente definido para evitar
distintas interpretaciones de conceptos tcnicos
y de gestin y mejora continua.

Qu es la
ISO 2700?

La Familia Norma ISO 27000 (1)

ISO 27000

En fase de desarrollo. Contendr trminos y definiciones que se emplean en toda la

serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin.
ISO 27001

Es la norma principal de requerimientos del sistema de gestin de seguridad de la

informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual
sern certificados por auditores externos los SGSI de las organizaciones. Fue
publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habindose
establecido unas condiciones de transicin para aquellas empresas certificadas en esta
ltima.
ISO 27002 (ISO 17799)

Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Ser la
sustituta de la ISO17799:2005.

La Familia ISO 27000

(2)

ISO 27003
Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y
de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.
ISO 27004
Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y efectividad
de la implantacin de un SGSI y de los controles relacionados. Estas mtricas se usan
fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del
ciclo PDCA.
ISO 27005
Consistir en una gua para la gestin del riesgo de la seguridad de la informacin y servir, por tanto,
de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada en
Marzo de 2006) y, probablemente, en ISO 13335.
ISO 27006
Especificar el proceso de acreditacin de entidades de certificacin y el registro de SGSIs.

Evolucin de la Norma ISO/IEC 27001

Norma ISO/IEC 27001

Sistema de Gestin de la Seguridad de la

Informacin

S
G
S
I
Es la norma que define los requisitos para establecer, implementar, operar,
hacer seguimiento, revisar, mantener y mejorar un Sistema de Gestin de
la Seguridad de la Informacin (SGSI) documentado dentro del contexto de
los riesgos del negocio.

 El estndar para la seguridad de la informacin

ISO/IEC 27001 fue aprobado y publicado como
estndar internacional en Octubre de 2005 por
International Organization for Standardization
(ISO) y por la International Electrotechnical
Commission (IEC).
Esta norma especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la
Informacin (SGSI) segn el conocido PDCA (Planificar, Hacer, Verificar, Actuar). Es consistente
con las mejores prcticas descritas en ISO/IEC
17799 (actual ISO/IEC 27002) y tiene su origen en
la norma BS 7799-2:2002, desarrollada por la
entidad de normalizacin britnica, la British
Standarsds Institution (BSI).

ISO/IEC
270001

Norma ISO/IEC 27001

Esta norma la pueden usar para:

Evaluar la capacidad de una organizacin (requisitos).

Aplicacin de un sistema de procesos dentro de la organizacin.
Comprender los requisitos de la seguridad de la informacin.
Implementar y operar controles en la gestin del riesgo.
Administracin del SGSI.
Mejora continua basada en la medicin de objetivos.
Esta norma puede ser aplicada a todas las organizaciones,
independientemente de su tipo, tamao y naturaleza.

Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
suele tener una duracin entre 6 y 12 meses.
Aquellas organizaciones que hayan aplicado las buenas prcticas de ISO/IEC
27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC
27001.
El equipo de proyecto de implantacin debe estar formado por representantes
de todas las reas de la organizacin que se vean afectadas por el SGSI.

Este equipo debe estar liderado por la direccin y asesorado por

consultores externos especializados en seguridad informtica, derecho
de las nuevas tecnologas, proteccin de datos y sistemas de gestin de
seguridad de la informacin.

La Serie 2700
La seguridad de la informacin tiene asignada la serie 2700 dentro de los estndares
ISO/IEC:
ISO 27000: Actualmente en fase de desarrollo. Contendr trminos y definiciones
que se emplean en toda la serie 27000.
UNE-ISO/IEC 27001: Es la norma principal de requisitos de un Sistema de
Gestin de Seguridad de la Informacin.
ISO 27002: Anteriormente denominada ISO 17799.
ISO 270023:En fase de desarrollo; probable publicacin en 2009.

ISO 27004: En fase de desarrollo; probable publicacin en 2009.

ISO 27005: Publicada en Junio de 2008.
ISO 27006: Publicada en Febrero de 2007.

Establecimiento de una metodologa de gestin de la

seguridad de la informacin clara y bien estructurada.
Reduccin de Riesgos, perdidas, corrupcin o robo de
la informacin.
Los usuarios tienen acceso a la informacin de
manera segura, lo que se traduce en confianza.
Los riesgos y sus respectivos controles son revisados
constantemente.
Garantiza el cumplimiento de las leyes y reglamentos
establecidos en materia de gestin de la informacin.

Incrementa el nivel de concientizacin del personal

con respecto a los tpicos de seguridad informtica.
Proporciona confianza y reglas clara al personal de la
empresa.

Beneficios de
la Norma
ISO/IEC
27001

Comparacin con la norma ISO

17799
La ISO 17799 no es certificable, ni fue diseada para esto. La norma que si es
certificable es ISO 27001 como tambin lo fue su antecesora BS 7799-2.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
17799 para su posible aplicacin en el SGSI que implanta cada organizacin.
ISO 17799 es como un complemento para la ISO 27001, por tanto, una
relacin de controles necesarios para garantizar la seguridad de la informacin.
ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener,
evaluar un sistema de seguridad informtica explcitamente. ISO 17799 lo hace
para certificar ISMS (Information Security Management System).

FUENTES
http://advisera.com/27001academy/es/que-es-iso-27001/
http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/