Información
La norma ISO 27001 se convierte en una herramienta muy importante para las
organizaciones, ya que estas gastan millones de dólares en firewalls y dispositivos de
seguridad, pero para este dinero se encuentre bien invertido se debe tener en cuenta que
las personas encargas de utilizar y administrar los equipos tienen la suficiente formación.
1. Orientación al cliente.
2. Liderazgo.
3. Participación del personal.
4. Enfoque de procesos.
5. Enfoque de sistemas de gestión.
6. Mejora continua.
7. Enfoque de mejora continúa.
8. Relación mutuamente beneficiosa con el proveedor.
El proyecto de revisión de la norma ISO 27001:2013 se aprobó en mayo 2009 mediante un artículo
en el New Work Item (NWI). Los primeros 3 borradores de trabajo conservaban la estructura de la
edición anterior de la norma. La estructura común y el texto básico que conocemos en la actualidad
aplican el draft 4 pese a la oposición de varios organismos nacionales. En el año 2012 el Consejo de
Gestión Técnica de ISO (TMG) decidió que la norma ISO 27001 tenía que seguir la nueva
estructura, aunque las desviaciones justificadas se admitieran. Se crean alianzas para elevar el nivel
de abstracción, sin embargo la alianza para dejar caer la Declaración de Aplicabilidad fallo. Se
intentó acabar con el proyecto en multiples ocasiones, pero no se consiguió.
1998: BS 77779-2
2002: BS-7799-1
2005: ISO/IEC 27001:2005
2013: ISO/IEC 27001:2013
Anexo SL
Integrar las normas y términos comunes
Mejora la integración con otros Sistemas de Gestión, ya que se encuentra con la estructura de alto
nivel (Anexo SL), donde los términos y las definiciones ayudan a implementar.
Todas las defunciones que encontramos en el estándar ISO 27001 y las inconsistencias se han
eliminado.
Los riesgos en la Seguridad de la Información debe ser abordada en su conjunto.
Todos los documentos que se encuentran requeridos están claramente establecidos y hacen
referencia, tanto al tamaño de la organización como a la complejidad de esta.
Se mencionan todas las acciones preventivas que no existían anteriormente.
5 Clausulas
178 requerimientos
El anexo A tiene 11 categorías de control (del 5 al 15)
No menciona la ISO 31000 u otro estándar
Los nuevos requerimientos de la norma ISO 27001:2013 que podemos destacar son:
Se cuenta con un año para que las empresas que estén certificadas con la versión de ISO
27001:2005 se adapten a la nueva versión de ISO 27001.2013.
La norma ISO 27001:2013 cuenta con muchos menos controles de cantidad y en métodos hay
menos controles tecnológicos, aunque adicionalmente se cuenta con políticas de control más claras.
Todas las organizaciones que han realizado el esfuerzo de implantar la norma ISO 27001:2005,
deben tomas diferentes estrategias para alinear su implementación a la ISO 27001:2013.