ISO-27001

ISO 27001: Diferencias entre la Norma ISO 27001:2005 y la Norma ISO 27001:2013

ISO-27001

ISO 27001

La Norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001. La revisión se ha realizado tomando la experiencia práctica de la utilización de la norma a lo largo de estos años. Se han tenido dos influencias principales para llevar a cabo la revisión.

La primera influencia es la necesidad de que la totalidad de las normas ISO tienen que cumplir con la estructura de alto nivel denominada “Anexo SL”, la conformidad con estos requisitos producirán una tendencia a hacer que todos los Sistemas de Gestión de las normas ISO tengan el mismo aspecto, con la intención principal de que la integración de los distintos sistemas de gestión sea mucho más simple.

En segundo lugar, la influencia es por la necesidad de alinear la norma ISO 27001 con todos los principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo. Es bueno para la integración de sistemas, por lo que una entidad puede aplicar la misma metodología de evaluación de riesgo a través de distintas disciplinas.

El resultado de la revisión es una gran diferencia entre la norma ISO 27001:2013 y la norma ISO 27001:2005. Ahora no se duplican requisitos, posibilita una mayor libertad de elección acerca de cómo poner en práctica la norma. Un buen ejemplo es que la identificación de activos, las amenazas y las vulnerabilidades ya no es un requisito previo a la identificación de los riesgos de Seguridad de la Información.

En la tabla siguiente podemos identificar los conceptos nuevos que se ha introducido o actualizado:

ISO 27001

Introducción

En un caso concreto, la sección donde se trata sobre el modelo PHVA (Planificar-Hacer-Verificar-Actuar) se ha eliminado. La razón de esto es que el requisito para la mejora continua y el PHVA es sólo una propuesta para cumplir este requisito. Actualmente las entidades son libres de utilizarlas o no.

En la introducción también se llama la atención del orden en el que se presentan los requisitos, en los que se indica el orden, aunque no se refleje su importancia o sin embargo se plantea el orden en que quiere ser implantado.

¿Qué diferencias hay entre la ISO 27001:2005 y la ISO 27001:2013?

Click To Tweet

Alcance

El alcance es una cláusula mucho más corta. En particular, no se hace referencia a la exclusión de los controles en el anexo A.

Referencias normativas

Sólo hay una referencia normativa, la norma ISO 27000 de Información Tecnológica – Técnicas de seguridad – Sistemas de Gestión de Seguridad de la Información – Información general y vocabulario.

Términos y definiciones

Ya no hay términos o definiciones de la norma ISO 27001:2013. En su lugar, se recomienda acudir a la norma ISO 27000, pero en cambio tiene que asegurarse de utilizar la versión de la norma ISO 27001:2013 de lo contrario, no serán los términos o definiciones adecuados.

Este documento es muy importante, ya que muchos términos han sido modificados, por ejemplo, “Sistema de Gestión” y “control” se han modificado y ahora se ajustan a las definiciones contenidas en la nueva norma ISO 27001:2013 y la ISO 31000. Si tenemos el caso de que un término no se encuentre definido en la norma ISO 27000, se tendrá que utilizar la definición dada por el diccionario inglés de Oxford, es la única manera de no llegar a confusión o malentendidos.

Contexto de la organización

El contexto de la organización es una cláusula nueva, que aborda el concepto de medidas preventivas y determina el contexto para la implantación del Sistema de Gestión de Seguridad de la Información. Esta cláusula cumple con todos los objetivos a través del enlace de cuestiones internas a la empresa y externas con los requisitos de las partes interesadas para determinar el alcance del Sistema de Gestión de Seguridad de la Información.

Hay que indicar que el término “problema” abarca no solamente a los problemas, propiamente dichos, sino que ha sido objeto de una acción preventiva en los estándares, que también son importantes para abordar el SGSI, es como todo sistema de garantía de mercado.

Se tiene que tener en cuenta que el término “requisito” es una “necesidad o expectativa establecida, generalmente implícita u obligatoria”. Los requisitos convidados con otra cláusula pueden ser considerados como un requisito de gobierno, lo que hace que el SGSI no se ajuste a las expectativas públicas y se produzcan No Conformidades con la norma.

El último requisito es determinar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de acuerdo con todos los requisitos de la norma ISO 27001.

Software para Seguridad de la Información

El Software ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones de las que se compone y que son totalmente configurables según los requerimientos de cada entidad. Asimismo, este software posibilita la automatización del Sistema de Gestión de Seguridad de la Información.

¿Desea saber más?

Entradas relacionadas

Compliance
Perú exige la implantación de un programa compliance para evitar sanciones
31 enero, 2018

Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…

Ver más
Proveedores
¿Por qué se debe auditar a los proveedores para la fabricación de alimentos?
26 diciembre, 2017

Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…

Ver más
Ley 29783
Ley 29783: Automatización de la Ley Peruana de Seguridad y Salud en el Trabajo
19 diciembre, 2017

Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…

Ver más
Gestión Del Rendimiento
Gobierno del Perú: Preguntas frecuentes sobre la gestión del rendimiento
12 diciembre, 2017

Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…

Ver más
Volver arriba