NORMA ISO/IEC 27001
Nombre: Claudia Grandi Bustillos
Introducción

La información es un activo que como
otros activos importantes tiene valor y
requiere en consecuencia una protección
adecuada. Para la adecuada gestión de la
seguridad de la información, es necesario
implantar un sistema que aborde esta tarea
de una forma metódica, documentada y
basada en unos objetivos claros de
seguridad que a su vez haga una evaluación
de los riesgos a los que está sometida la
información de la organización.

ISO/IEC 27000 es un conjunto de estándares
desarrollados por
ISO e IEC, que
proporcionan un marco de gestión de la
seguridad de la información utilizable por
cualquier tipo de organización, pública o
privada, grande o pequeña. A continuación
se resumen las características del estándar
ISO/IEC 27001 y se indica cómo puede una
organización implantar un sistema de
gestión de seguridad de la información
(SGSI) basado en ISO 27001.
ISO/IEC 270001

El estándar para la seguridad de la información
ISO/IEC 27001 fue aprobado y publicado como
estándar internacional en Octubre de 2005 por
International Organization for Standardization
(ISO) y por la International Electrotechnical
Commission (IEC).

Esta norma especifica los requisitos necesarios
para establecer, implantar, mantener y mejorar
un Sistema de Gestión de la Seguridad de la
Información (SGSI) según el conocido PDCA (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prácticas descritas
en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene
su origen en la norma BS 7799-2:2002,
desarrollada por la entidad de normalización
británica, la British Standarsds Institution (BSI).
Implantación
 La
implantación de ISO/IEC 27001 en una
organización es un proyecto que suele tener una
duración entre 6 y 12 meses.
 Aquellas organizaciones que hayan aplicado las
buenas prácticas de ISO/IEC 27002, partirán de una
posición más ventajosa a la hora de implantar
ISO/IEC 27001.
 El equipo de proyecto de implantación debe estar
formado por representantes de todas las áreas de la
organización que se vean afectadas por el SGSI.
 Este equipo debe estar liderado por la dirección y asesorado por
consultores externos especializados en seguridad informática,
derecho de las nuevas tecnologías, protección de datos y
sistemas de gestión de seguridad de la información.
La Serie 2700
 La seguridad de la información tiene asignada la serie 2700
dentro de los estándares ISO/IEC:
 ISO 27000: Actualmente en fase de desarrollo. Contendrá






términos y definiciones que se emplean en toda la serie 27000.
UNE-ISO/IEC 27001: Es la norma principal de requisitos de un
Sistema de Gestión de Seguridad de la Información.
ISO 27002: Anteriormente denominada ISO 17799.
ISO 270023:En fase de desarrollo; probable publicación en 2009.
ISO 27004: En fase de desarrollo; probable publicación en 2009.
ISO 27005: Publicada en Junio de 2008.
ISO 27006: Publicada en Febrero de 2007.
Beneficios de la Norma ISO/IEC 27001
 Establecimiento de una metodología de gestión de
la seguridad de la información clara y bien
estructurada.
 Reducción de Riesgos, perdidas, corrupción o robo
de la información.
 Los usuarios tienen acceso a la información de
manera segura, lo que se traduce en confianza.
 Los riesgos y sus respectivos controles son
revisados constantemente.
 Garantiza el cumplimiento de las leyes y
reglamentos establecidos en materia de gestión de
la información.
 Incrementa el nivel de concientización del personal
con respecto a los tópicos de seguridad informática.
 Proporciona confianza y reglas clara al personal de
la empresa.
Comparación con la norma ISO
17799
 La ISO 17799 no es certificable, ni fue diseñada para esto. La norma que
si es certificable es ISO 27001 como también lo fue su antecesora BS
7799-2.
 ISO 27001 contiene un anexo A, que considera los controles de la norma
ISO 17799 para su posible aplicación en el SGSI que implanta cada
organización.
 ISO 17799 es como un complemento para la ISO 27001, por tanto, una
relación de controles necesarios para garantizar la seguridad de la
información.
 ISO 27001 especifica los requisitos para implantar, operar, vigilar,
mantener, evaluar un sistema de seguridad informática explícitamente.
ISO 17799 lo hace para certificar ISMS (Information Security
Management System).
Preguntas
 ¿ Qué tiene que ver ISO 27001 con
ISO 27002 (anteriormente
denominada 17799)?
 De acuerdo a los beneficios que
aporta esta norma ¿ Es
considerable el retorno de la
inversión que se realiza para tener
una certificación ISO 27001 en la
empresa?
Descargar

Document