Professional Documents
Culture Documents
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco
de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a
las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para
mitigarlos o eliminarlos.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización
han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su
liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e
información documentada pertinente en cada caso.
8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la
norma indica que se debe planificar, implementar y controlar los procesos de la organización,
hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de
ellos.
9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la
dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona
según lo planificado.
10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de mejorar continuamente
la conveniencia, adecuación y eficacia del SGSI.
La norma ISO 27001 adopta un proceso enfocado para establecer, implantar, funcionar, seguir, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información de la organización.
La Organización Internacional de Estandarización (ISO, por sus siglas en inglés) estableció la norma
ISO 27001, que se emplea para la certificación de los sistemas de gestión de seguridad de la
información en las organizaciones empresariales. Brinda una norma internacional para sistemas de
gestión de seguridad de la información.
Con la certificación del uso de la norma ISO 27001:2013, la empresa puede demostrar a sus clientes
actuales y potenciales, así como a sus proveedores y accionistas, la integridad en el manejo de la
seguridad de la información. También le posibilita reforzar la seguridad de la información y disminuir los
riesgos de fraude, pérdida o filtración de información.
Basada en el estándar BS 7799, el cual fue sustituido por esta norma, se la ha reorganizado para
alinearse con otras normas internacionales. Fueron incorporados nuevos controles, poniendo énfasis en
las métricas para la seguridad de la información y la gestión de incidentes.
La norma ISO 27001:2013 también se basa en otras como ISO/IEC 17799:2005, la serie ISO 13335,
ISO/IEC TR 18044:2004 y las Directrices de la OCDE para sistemas y redes de seguridad de la
información, que brindan orientación para implementar sistemas de seguridad de la información.
Como resultado de este alineamiento con otros sistemas de gestión y la operación integrada con
normas de gestión relacionadas, la implementación de norma ISO 27001 tiene como resultados:
La armonización con normas de sistemas de gestión como ISO 9001 e ISO 14001.
El énfasis en la mejora continúa de procesos del sistema de gestión de seguridad de la
información.
La claridad en los requisitos de documentación y registros.
Procesos de evaluación y gestión de los riesgos involucrados mediante el modelo del proceso
Planificar, Hacer, Verificar, Actuar (PDCA, por sus siglas en inglés).
La protección de los activos de la empresa, desde la información digital, los documentos y
activos físicos (computadoras y redes) hasta los conocimientos de los empleados.