ISO 27001
La Norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001. La revisión se ha realizado tomando la experiencia práctica de la utilización de la norma a lo largo de estos años. Se han tenido dos influencias principales para llevar a cabo la revisión.
La primera influencia es la necesidad de que la totalidad de las normas ISO tienen que cumplir con la estructura de alto nivel denominada “Anexo SL”, la conformidad con estos requisitos producirán una tendencia a hacer que todos los Sistemas de Gestión de las normas ISO tengan el mismo aspecto, con la intención principal de que la integración de los distintos sistemas de gestión sea mucho más simple.
En segundo lugar, la influencia es por la necesidad de alinear la norma ISO 27001 con todos los principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo. Es bueno para la integración de sistemas, por lo que una entidad puede aplicar la misma metodología de evaluación de riesgo a través de distintas disciplinas.
El resultado de la revisión es una gran diferencia entre la norma ISO 27001:2013 y la norma ISO 27001:2005. Ahora no se duplican requisitos, posibilita una mayor libertad de elección acerca de cómo poner en práctica la norma. Un buen ejemplo es que la identificación de activos, las amenazas y las vulnerabilidades ya no es un requisito previo a la identificación de los riesgos de Seguridad de la Información.
En la tabla siguiente podemos identificar los conceptos nuevos que se ha introducido o actualizado:
Introducción
En un caso concreto, la sección donde se trata sobre el modelo PHVA (Planificar-Hacer-Verificar-Actuar) se ha eliminado. La razón de esto es que el requisito para la mejora continua y el PHVA es sólo una propuesta para cumplir este requisito. Actualmente las entidades son libres de utilizarlas o no.
En la introducción también se llama la atención del orden en el que se presentan los requisitos, en los que se indica el orden, aunque no se refleje su importancia o sin embargo se plantea el orden en que quiere ser implantado.
Alcance
El alcance es una cláusula mucho más corta. En particular, no se hace referencia a la exclusión de los controles en el anexo A.
Referencias normativas
Sólo hay una referencia normativa, la norma ISO 27000 de Información Tecnológica – Técnicas de seguridad – Sistemas de Gestión de Seguridad de la Información – Información general y vocabulario.
Términos y definiciones
Ya no hay términos o definiciones de la norma ISO 27001:2013. En su lugar, se recomienda acudir a la norma ISO 27000, pero en cambio tiene que asegurarse de utilizar la versión de la norma ISO 27001:2013 de lo contrario, no serán los términos o definiciones adecuados.
Este documento es muy importante, ya que muchos términos han sido modificados, por ejemplo, “Sistema de Gestión” y “control” se han modificado y ahora se ajustan a las definiciones contenidas en la nueva norma ISO 27001:2013 y la ISO 31000. Si tenemos el caso de que un término no se encuentre definido en la norma ISO 27000, se tendrá que utilizar la definición dada por el diccionario inglés de Oxford, es la única manera de no llegar a confusión o malentendidos.
Contexto de la organización
El contexto de la organización es una cláusula nueva, que aborda el concepto de medidas preventivas y determina el contexto para la implantación del Sistema de Gestión de Seguridad de la Información. Esta cláusula cumple con todos los objetivos a través del enlace de cuestiones internas a la empresa y externas con los requisitos de las partes interesadas para determinar el alcance del Sistema de Gestión de Seguridad de la Información.
Hay que indicar que el término “problema” abarca no solamente a los problemas, propiamente dichos, sino que ha sido objeto de una acción preventiva en los estándares, que también son importantes para abordar el SGSI, es como todo sistema de garantía de mercado.
Se tiene que tener en cuenta que el término “requisito” es una “necesidad o expectativa establecida, generalmente implícita u obligatoria”. Los requisitos convidados con otra cláusula pueden ser considerados como un requisito de gobierno, lo que hace que el SGSI no se ajuste a las expectativas públicas y se produzcan No Conformidades con la norma.
El último requisito es determinar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de acuerdo con todos los requisitos de la norma ISO 27001.
Software para Seguridad de la Información
El Software ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones de las que se compone y que son totalmente configurables según los requerimientos de cada entidad. Asimismo, este software posibilita la automatización del Sistema de Gestión de Seguridad de la Información.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…