¿qué es la serie de normas ISO 27000?
la familia de normas ISO/IEC 270001, también conocida como la serie ISO 27000, es una serie de prácticas recomendadas para ayudar a las organizaciones a mejorar su seguridad de la información.
publicada por ISO (Organización Internacional de Normalización) y IEC (Comisión Electrotécnica Internacional), la serie explica cómo implementar las mejores prácticas de seguridad de la información.
an.,
lo hace estableciendo los requisitos del ISMS (sistema de gestión de seguridad de la información).
un ISMS es un enfoque sistemático de la gestión de riesgos, que contiene medidas que abordan los tres pilares de la seguridad de la información: Personas, Procesos y tecnología.
la serie consta de 46 normas individuales, incluida la ISO 27000, que proporciona una introducción a la familia y aclara los términos y definiciones clave.,
no necesita una comprensión completa de los estándares ISO para ver cómo funciona la serie, y algunos no serán relevantes para su organización, pero hay algunos básicos con los que debe estar familiarizado.
ISO 27001
Este es el estándar central de la serie ISO 27000, que contiene los requisitos de implementación para un SGSI.
esto es importante recordar, ya que ISO IEC 27001: 2013 es el único estándar de la serie contra el que las organizaciones pueden ser auditadas y certificadas.,
esto se debe a que contiene una visión general de todo lo que debe hacer para lograr el cumplimiento, que se amplía en cada uno de los siguientes estándares.
ISO 27002
Este es un estándar complementario que proporciona una visión general de los controles de seguridad de la información que las organizaciones podrían elegir implementar.
Las Organizaciones solo están obligadas a adoptar los controles que consideren pertinentes, algo que se hará evidente durante una evaluación del riesgo.,
los controles se describen en el Anexo A DE LA NORMA ISO 27001, pero mientras que esto es esencialmente un resumen rápido, la norma ISO 27002 contiene una descripción más completa, explicando cómo funciona cada control, Cuál es su objetivo y cómo puede implementarlo.
ISO 27017 e ISO 27018
estas normas ISO complementarias se introdujeron en 2015, explicando cómo las organizaciones deben proteger la información confidencial en la nube.
esto se ha vuelto especialmente importante recientemente, ya que las organizaciones migran gran parte de su información confidencial a servidores en línea.,
ISO 27017 es un código de prácticas para la seguridad de la información, que proporciona información adicional sobre cómo aplicar los controles del Anexo A a la información almacenada en la nube.
bajo ISO 27001, usted tiene la opción de tratarlos como un conjunto separado de controles. Por lo tanto, elegiría un conjunto de controles del Anexo A para sus datos ‘normales’ y un conjunto de controles de ISO 27017 para los datos en la nube.
ISO 27018 funciona esencialmente de la misma manera, pero con una consideración adicional para los datos personales.,
ISO 27701
Este es el estándar más nuevo de la serie ISO 27000, que cubre lo que las organizaciones deben hacer al implementar un PIMS (privacy information management system).
fue creado en respuesta al GDPR (Reglamento General de protección de datos), que instruye a las organizaciones a adoptar «medidas técnicas y organizativas adecuadas» para proteger los datos personales, pero no indica cómo deben hacerlo.
ISO 27701 llena ese vacío, esencialmente atornillando los controles de procesamiento de privacidad EN ISO 27001.
¿por qué utilizar un estándar de la serie ISO 27000?,
las violaciones de datos son uno de los mayores riesgos de seguridad de la información a los que se enfrentan las organizaciones. Los datos confidenciales se utilizan en todas las áreas de las empresas en estos días, aumentando su valor para el uso legítimo e ilegítimo.
innumerables incidentes ocurren cada mes, ya sea que se trate de delincuentes cibernéticos hackeando una base de datos o empleados perdiendo o malversando información. Dondequiera que vayan los datos, el daño financiero y reputacional causado por una brecha puede ser devastador.,
es por eso que las organizaciones están invirtiendo cada vez más en sus defensas, utilizando ISO 27001 como guía para una seguridad efectiva.
ISO 27001 se puede aplicar a organizaciones de cualquier tamaño y en cualquier sector, y la amplitud del marco significa que su implementación siempre será adecuada al tamaño del negocio.
Puede averiguar cómo comenzar con el estándar leyendo seguridad de la información & ISO 27001: una introducción.,
Este Libro Verde gratuito explica:
- Qué es ISO 27001, cómo funciona un ISMS y cómo se relaciona con ISO 9001, ISO 27002 y otras normas;
- La importancia de las evaluaciones de riesgos y los planes de tratamiento de riesgos;
- Cómo la norma le ayuda a cumplir con sus obligaciones legales y reglamentarias; y
- sus requisitos de auditoría y certificación.,
Una versión de este blog fue publicado originalmente el 10 de octubre de 2019.
lectura recomendada:
- Cuál es la diferencia entre ISO 27000 y 27001