Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El pilar de la serie ISO 27000 es ISO 27001:2013, que establece todos los requisitos
contra los cuales se puede auditar y certificar el Sistema de Gestión de Seguridad de la
Información. Todos los otros estándares en la familia ISO 27000 son código de prácticas
no interactivos, que proporcionan pautas de mejores prácticas que las empresas pueden
seguir en todo o en parte y que admiten ISO 27001.
El año 2018 puede que haya comenzado hace muy poco tiempo, pero parece que será un
gran año para la seguridad de la información. Con preguntas sobre la seguridad de los
microprocesadores y sobre las principales iniciativas de ciberseguridad como el
Reglamento General de Protección de datos de la Unión Europea que entró en vigencia
este año, una nueva edición de ISO 27000 ha llegado en el momento justo.
La nueva ISO 27000 proporcionará una descripción general de los diferentes sistemas de
gestión de la seguridad de la información y los términos y definiciones comúnmente
utilizados en la familia de normas ISO 27001. Se ha diseñado para que se aplique en todos
los tipos y tamaños de empresas, desde organizaciones multinacionales hasta pequeñas y
medianas organizaciones, la nueva versión, será muy valiosa para agencias
gubernamentales y empresa sin ánimo de lucro.
❖ Sus alcances
❖ Roles
❖ Funciones
❖ Relación entre sí
En 2019, cerca del 32% de los negocios sufrieron una violación de datos personales o
recibieron ataques en los últimos 12 meses.
La norma ISO 27001 se estructura para ser compatible con otras normas de sistemas de
gestión, como la ISO 9001 y es neutral respecto a tecnología y proveedores, lo que
significa que es completamente independiente de la plataforma de IT. Por ello, todos los
miembros de la organización deben ser educados sobre el significado de la norma y cómo
se aplica en la organización.
La norma ISO/IEC 27003 fue publicada el 1 de febrero de 2010, aunque fue actualizada
el 12 de abril de 2017. Actualmente no es certificable.
Existen una seria de etapas planteadas por ISO-27004 con el fin de medir y evaluar la
eficacia de la seguridad de la información:
Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos
que puedan complicar la seguridad de la información de su organización. No recomienda
una metodología concreta, dependerá de una serie de factores, como el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.
Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de
riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de
alto riesgo.
ISO / IEC 27006 establece requisitos formales para organizaciones acreditadas que
certifican otras organizaciones que cumplen con ISO / IEC 27001.
La norma ISO 27007 proporciona una guía para organismos de certificación acreditados,
auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es
decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.
La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar
sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de
Seguridad de la Información.
El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de
la Información de la auditoría de cumplimiento: