ISO/IEC 27001
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la
serie y contiene los requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a
la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habindose establecido unas condiciones de
transicin para aquellas empresas certificadas en esta ltima. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1
de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de
todos los controles enumerados en dicho anexo, la organizacin deber
argumentar slidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma est publicadaen Espaa como
UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
Es un estndar para la seguridad de la informacin (Information technology Security techniques - Information security management systems Requirements) aprobado y publicado como estndar internacional en octubre
de 2005 por International Organization for Standardization y por la comisin
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, funcionar,
seguir, revisar, mantener y mejorar un sistema de gestin de la seguridad de
la informacin (SGSI) segn el conocido como Ciclo de Deming: PDCA -
Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
suele tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por alcance
el mbito de la organizacin que va a estar sometido al Sistema de Gestin de
la Seguridad de la Informacin elegido. En general, es recomendable la ayuda
de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa
sus sistemas de informacin y sus procesos de trabajo a las exigencias de las
normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y
sus normas de desarrollo, siendo el ms importante el Real Decreto 1720/2007,
de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de Datos) o
que hayan realizado un acercamiento progresivo a la seguridad de la
informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes
de todas las reas de la organizacin que se vean afectadas por el SGSI,
liderado por la direccin y asesorado por consultores externos especializados
Contenido [hide]
1 Estructura de la norma
2 Los cambios de la norma de 2005
3 Controles
4 Referencias
Estructura de la norma [ editar ]
El ttulo oficial de la norma es "Informacin Tecnologa Tcnicas de seguridad Sistemas de gestin de seguridad de la informacin - Requisitos".
27001: 2013 tiene diez clusulas cortas, adems de una larga anexo, que
cubren:
Nuevos controles :