Normas ISO 27001

Fundamentos de la calidad total

ISO 27001
Es un sistema de gestin que comprende la poltica, estructura organizativa,
procedimientos, procesos y recursos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI); La propuesta de esta norma, no est orientada a despliegues tecnolgicos o
de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que
podra definir su propsito es Organizar la seguridad de la informacin.
Un ISMS se implanta de acuerdo a estndares de seguridad como el ISO 27001
basado en el cdigo de buenas prcticas y objetivos de control ISO 17799, el cual se
centra en la preservacin de las caractersticas de confidencialidad, integridad y
disponibilidad.
Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres
grandes lneas:
- ISMS (Information Security Management System)
-Valoracin de riegos (Risk Assesment)
- Controles

Qu significa el modelo PDCA?

Plan (Establecer el ISMS): Implica, establecer a poltica ISMS, sus objetivos,

procesos, procedimientos relevantes para la administracin de riesgos y
mejoras para la seguridad de la informacin, entregando resultados acordes
a las polticas y objetivos de toda la organizacin.
Do (Implementar y operar el ISMS): Representa la forma en que se debe
operar e implementar la poltica, controles, procesos y procedimientos.
Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable,
los procesos ejecutados con relacin a la poltica del ISMS, evaluar objetivos,
experiencias e informar los resultados a la administracin para su revisin.
Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y
correctivas, basados en las auditoras internas y revisiones del ISMS o
cualquier otra informacin relevante para permitir la continua mejora del
ISMS.

Cules son las ventajas del sistema de Gestin de Seguridad de la

Informacin ISO/IEC 27001?

Identificar los riesgos y establecer controles para gestionarlos o eliminarlos

Flexibilidad para adaptar los controles a todas las reas de su empresa o

solo a algunas seleccionadas

Conseguir que las partes interesadas y los clientes confen en la proteccin

de los datos

Demostrar conformidad y conseguir el estatus de proveedor preferente

Cumplir con ms requisitos demostrando conformidad

Cundo se convirti en norma?

-

1995 BS 7799-1:1995 (Norma

britnica)
1999 BS 7799-2:1999 (Norma
britnica)
1999 Revisin BS 7799-1:1999

2000 ISO/IEC 17799:2000

(Norma internacional cdigo de
prcticas)
2002 Revisin BS 7799-2:2002
2004 UNE 71502 (Norma
espaola)

Normas ISO 27001

Fundamentos de la calidad total
-

2005 Revisin ISO/IEC

17799:2005
2005 Revisin BS 7799-2:2005

2005 ISO/IEC 27001:2005

(Norma internacional
certificable)

Porque poner en funcionamiento el SGSI?

Reconocimiento oficialmente reconocido para la gestin de la seguridad

de la informacin.
Protege la informacin.
Permite garantizar la eficacia de los esfuerzos desarrollados en materia
de gestin de seguridad.
Confianza y reputacin corporativa hacia los clientes, empleados,
accionistas y proveedores; cuando ellos acceden a la informacin de
manera segura.
Auditoria y control de riesgos constantemente; que permiten identificar
debilidades del sistema.
Posibles reducciones en las primas de su seguro, vinculadas a una
posible disminucin de incidentes en materia de seguridad.
Evitar prdidas, robos, riesgos, corrupcin y descuidos con los activos de
la informacin.

A quin puede interesar?

ISO/IEC 27001 es una norma adecuada para cualquier organizacin, grande
o pequea, de cualquier sector o parte del mundo. La norma es
particularmente interesante si la proteccin de la informacin es crtica,
como en finanzas, sanidad sector pblico y tecnologa de la informacin (TI);
ISO/IEC 27001 tambin es muy eficaz para organizaciones que gestionan la
informacin por encargo de otros.

Qu es un control?

Es lo que me permite garantizar que cada uno de los aspectos que se

valoraron con riesgos queda cubierto y auditable de muchas maneras; lo que
es necesario recalcar aqu es que los controles sern seleccionados e
implementados de acuerdo a los requerimientos identificados por la
valoracin del riesgo y los procesos de tratamiento del riesgo o sea que esta
actividad surgir la primera decisin acerca de los controles que se debern
abordar.

Las Familias de las normas ISO 27001.

La serie de normas ISO/IEC 27000 son estndares de seguridad
publicados
por
la Organizacin
Internacional
para
la
Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).

ISO/IEC 27000 - es un vocabulario estndar para el SGSI. Introduccin y base

para el resto.
ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones.
ISO/IEC 27002 - Information technology - Security techniques - Code of
practice for information security management. Previamente BS 7799 Parte 1 y la
norma ISO/IEC 17799. Es cdigo de buenas prcticas para la gestin de
seguridad de la informacin.
ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es el
soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de 2010. No es
certificable.
ISO/IEC 27004 - son mtricas para la gestin de seguridad de la informacin.
ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la informacin.
ISO/IEC 27006 - Requisitos para la acreditacin de las organizaciones que
proporcionan la certificacin de los sistemas de gestin de la seguridad de la
informacin.
ISO/IEC 27007 - es una gua para auditar al SGSI. Publicada en noviembre de
2011.

ISO/IEC 27016 - es una norma que se concentra en un anlisis financiero y

econmico de equipos y procedimientos de la seguridad de la informacin.
Publicada en febrero de 2014.
ISO/IEC 27017 - es una gua de seguridad para Cloud Computing. Publicada
en diciembre de 2015.
ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de Seguridad
Gestin de Incidentes de Seguridad. Este standard hace foco en las actividades
de: deteccin, reporte y evaluacin de incidentes de seguridad y sus
vulnerabilidades. Publicada en agosto de 2011. (1)
ISO/IEC 27799:2008 - es una gua para implementar ISO/IEC 27002 en la
industria de la salud.