¿Qué es la norma ISO 27001?
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar,monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de
Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO
9001 para calidad, ISO 14001 para medio ambiente, etc.).
Es un estándar certificable, es decir, cualquier organización que tenga implantado un
SGSI según este modelo puede solicitar una auditoría externa por parte de una
entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO
27001.
¿Cuál es el origen de ISO 27001?
Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 2,norma que fue publicada por primera vez en 1998 y ya era un estándar certificable
desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de
Octubre de 2005.
Puede consultar la historia de ISO 27001 en el archivo sonoro:
http://www.iso27000.es/download/HistoriaISO27001.pps
¿Qué tiene que ver ISO 27001 con ISO 17799?
ISO 17799 es un conjunto de buenas prácticas en seguridad de la información.Contiene 133 controles aplicables (en relación a la gestión de la continuidad de
negocio, la gestión de incidentes de seguridad, control de accesos o regulación de las
actividades del personal interno o externo, entre otros muchos), que ayudarán a la
organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de
la información. Su origen está en la norma de BSI (British Standards Institution)
BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799
para su posible aplicación en el SGSI que implante cada organización (justificando, en
el documento denominado “Declaración de Aplicabilidad”, los motivos de exclusión de
aquellos que finalmente no sean necesarios). ISO 17799 es para ISO 27001, por tanto,
una relación de controles necesarios para garantizar la seguridad de la información.
Está previsto que, en 2007, ISO 17799 pase a denominarse ISO 27002.
¿Puedo certificar mi empresa en ISO 17799?
ISO 17799 es un conjunto de buenas prácticas de seguridad de la información quedescribe 133 controles aplicables. No es certificable, al igual que su norma antecesora
BS 7799-1, y la aplicación total o parcial en cada organización se realiza de forma
totalmente libre y sin necesidad de una supervisión regular externa.
La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS
7799-2.
¿Qué es la serie ISO 27000?
ISO ha reservado la serie de numeración 27000 para las normas relacionadas consistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera
de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas
normas que supongan un apoyo para las organizaciones que implanten y certifiquen
un SGSI según ISO 27001.
Entre otras, serán 27000 (términos y definiciones), 27002 (objetivos de control y
controles), 27003 (guía de implantación de un SGSI), 27004 (métricas y técnicas de
medida de la efectividad de un SGSI), 27005 (guía para la gestión del riesgo de
seguridad de la información) y 27006 (proceso de acreditación de entidades de
certificación y el registro de SGSIs).
Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la visita
de : http://www.iso27000.es/iso27000.html
0 comentarios:
Publicar un comentario
Ingresa aquí abajo tu comentario.