ISO 27000: introducción y estado actual

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

Seguidamente se resumen las distintas normas que componen la serie ISO 27000:

  • ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común  utilizado por todas las normas de la serie.
  • ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005.
  • ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.
  • ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.
  • ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.
  • ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve.
  • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.
  • ISO/IEC 27007 será una guía para auditar SGSI.
  • ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.
  • ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.
  • ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051).
  • ISO/IEC 27031 estará centrada en la continuidad de negocio.
  • ISO/IEC 27032 será una guía para la cyberseguridad.
  • ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.
  • ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.
  • ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.

One comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *