Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La familia de normas ISO / IEC 27000 ayuda a las organizaciones a mantener seguros los activos de
información.
ISO / IEC 27001 es el estándar más conocido en la familia que proporciona los requisitos para un
sistema de gestión de seguridad de la información (ISMS).
Hay más de una docena de estándares en la familia 27000, puedes verlos aquí .
¿Qué es un ISMS?
Puede ayudar a las pequeñas, medianas y grandes empresas en cualquier sector a mantener
seguros los activos de información.
ISO / IEC 27000: 2018 proporciona una descripción general de los sistemas de gestión de la
seguridad de la información (ISMS) y los términos y definiciones comúnmente utilizados en la
familia de normas ISMS ISO / IEC 27001. Diseñada para ser aplicable a todos los tipos y tamaños de
organizaciones, desde empresas multinacionales hasta pequeñas y medianas empresas, la nueva
versión, lanzada en febrero de 2018, es igualmente valiosa para agencias gubernamentales u
organizaciones sin fines de lucro.
Hay más de una docena de estándares en la familia 27000. El recientemente publicado ISO / IEC
27000 proporciona una comprensión de cómo se ajustan los estándares: sus alcances, roles,
funciones y relación entre sí.
La comunidad ISO / IEC 27001 encontrará este estándar útil, ya que reúne toda la terminología
esencial utilizada por otros estándares en la familia ISO / IEC 27000.
ISO / IEC 27000: 2018 fue desarrollado por el comité técnico conjunto ISO / IEC JTC 1, tecnología
de la información , subcomité SC 27, técnicas de seguridad de TI , cuya secretaría está en manos
de DIN, miembro de ISO para Alemania. Se puede comprar a través de su miembro nacional de ISO
o a través de la tienda ISO.
Las organizaciones ISO (The International Organization for Standardization) e IEC (International
Electrotechnical Commission) mantienen equipos de expertos dedicados al desarrollo de normas
internacionales, posibilitando que las organizaciones implementen estructuras adecuadas para la
gestión de sus activos de información, tales como información financiera, de propiedad
intelectual, datos de empleados, clientes o terceros, o sea, toda información que traiga valor para
las corporaciones.
Las normas ISO 27000 posibilitan que organizaciones de todos los tipos y tamaños implementen y
operen un Sistema de Gestión de Seguridad de la Información (SGSI). Las normas internacionales,
para este fin, se ordenan respetando el orden de numeración, tal como se elabora a continuación:
Las normas internacionales, pertenecientes a la familia 27000, sirven de base para la creación y
operación de Sistemas de Gestión de Seguridad de la Información (SGSI). El modelo es el resultado
del consenso entre especialistas, considerado el estado del arte en lo que se refiere a la
estandarización para el segmento de seguridad de la información.
Evaluar cuidadosamente los riesgos, para establecer controles apropiados y obtener niveles
aceptables para la organización;
La adopción de un SGSI, por una empresa, independientemente del porte, debe involucrar a
colaboradores internos, asociados y proveedores, dando total consistencia al proceso. Es
importante resaltar que los sistemas de información utilizados por la empresa deben tener
alineación con las normas técnicas apropiadas, trayendo conformidad para el negocio.
Otro detalle muy importante es que las posibilidades técnicas relacionadas con la seguridad de la
información son ilimitadas, aunque en algunos casos los conceptos técnicos necesitan ser
apoyados en procedimientos tratados por el contexto del SGSI.
ISO / IEC 27000: 2018
La versión electrónica de este Estándar Internacional se puede descargar desde el sitio web del
Grupo de Trabajo de Tecnología de la Información de ISO / IEC (ITTF).
ISO / IEC 27000: 2018 proporciona una descripción general de los sistemas de gestión de la
seguridad de la información (ISMS). También proporciona términos y definiciones comúnmente
utilizados en la familia de estándares ISMS. Este documento es aplicable a todos los tipos y
tamaños de organización (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro).
- no cubre todos los términos y definiciones aplicados dentro de la familia de estándares ISMS; y
Información general
ISO / IEC 27001: 2013 especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información dentro del contexto de la
organización. También incluye requisitos para la evaluación y el tratamiento de riesgos de
seguridad de la información adaptados a las necesidades de la organización. Los requisitos
establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las
organizaciones, independientemente de su tipo, tamaño o naturaleza.
Información general
ISO 27001
La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la
serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en
las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de
adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A
se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se
puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de
la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se
encuentren implementados ya que no es obligatorio.
ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad de la información
organizacional y las prácticas de gestión de la seguridad de la información, incluida la selección,
implementación y gestión de controles teniendo en cuenta los entornos de riesgo de seguridad de
la información de la organización.
Está diseñado para ser utilizado por organizaciones que tienen la intención de:
Información general
Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones
recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella
podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes.
Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos
los controles que podemos encontrar en la norma ISO 27002.