ISO 27000 y los estándares de Seguridad de la Información

La norma de mejora y mantenimiento para la seguridad de la información.

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la seguridad de forma continuada apoyada en la identificación de los riesgos de forma continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que describe una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones.

Un Sistema de Gestión de la Seguridad de la Información es un conjunto de políticas y procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información. A continuación les dejamos algunos detalles de cada uno de los estándares que están incluidos en la familia de ISO 27000.

ISO 27000

Contiene el vocabulario en el que se apoyan el resto de normas. Es similar a una guía/diccionario que describe los términos de todas las normas de la familia.

ISO 27001

Es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles propuestos por el estándar.

ISO 27002

Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.

ISO 27003

Es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con éxito.

ISO 27004

Escribe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

ISO 27005

Es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.

ISO 27006

Es un conjunto de requisitos de acreditación para las organizaciones certificadoras.

ISO 27007

Es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.

Es asó como la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional, mejora el Sistemas de Gestión de la Seguridad de la Información.