ISO 27001

Volver al resumen de normas

ISO 27001:2013

Más información
ISO 27001 y nuestra
¿posibilidades?

ISO 27001:2013

La seguridad de la información es un tema candente hoy en día; gninguna empresa u organización es completamente inmune a los ciberataques o a las violaciones de datos. El Reglamento General Europeo de Protección de Datos (RGPD), o Reglamento General de Protección de Datos (RGPD), también impone una serie de obligaciones para proteger mejor los datos de los ciudadanos europeos.- a la hora de tratar sus datos.

Por tanto, una buena seguridad de la información es imprescindible para las empresas de hoy en día. Para controlar mejor estos riesgos, un Establecer un sistema de gestión de la seguridad de la información basado en el Norma ISO 27001:2013.

¿Qué es la norma ISO 27001?

ISO 27001 es la norma mundial para la seguridad de la información. La base importante para la certificación conforme a esta norma es la implantación de un Sistema de gestión de la seguridad de la información (SGSI) para incluir la seguridad de la información basada en procesos. Para ello, la norma ISO 27001 describe con una serie de requisitos cómo establecer, evaluar y mejorar continuamente un SGSI eficaz. El objetivo: garantizar la confidencialidad, disponibilidad e integridad de todos los datos de su organización.

  • Confidencialidad - Sólo las personas autorizadas tienen acceso a la información.
  • Integridad - La información es veraz, completa y correcta.
  • Disponibilidad - La información es accesible en el momento adecuado y de manera oportuna.

En un mundo impulsado por la tecnología y los datos, el certificado ISO27001 es un sello de calidad imprescindible para muchas empresas. Clientes, proveedores, empleados... pueden confiar en que, como organización, usted está han tomado medidas contra los riesgos de seguridad de la información y que trata los datos personales con cuidado, como se ha establecido de forma independiente.

A menudo las empresas se ocupan de todo el hardware y el software, pero La seguridad de la información no es sólo seguridad informática (por ejemplo, cortafuegos, antivirus, etc.), sino que también trata del control de los procesos, la protección jurídica, el control de los recursos humanos, la protección física, etc. Por lo tanto, gran parte de un sistema de gestión ISO 27001 consiste en establecer las directrices organizativas necesarias para evitar violaciones de la seguridad de la información.

ISO 27001:2013

ISO 27001 es una norma internacional publicada por la Organización Internacional de Normalización (ISO), desarrollada sobre la base de la norma británica BS 7799-2. Este documento normativo -como ocurre con otras normas de gestión- ha sido revisado periódicamente a lo largo de los años por un comité de expertos. El comité decide entonces si revisa o retira la norma.

La primera revisión de la norma se publicó en 2005, y la versión más reciente de esta norma se publicó en 2013 actualizando la estructura a la Estructura de alto nivel (HLS) Trabajar bajo la misma estructura básica uniforme.

La última versión en neerlandés es NEN-EN-ISO/IEC 27001:2013 Sistemas de gestión de la seguridad de la información - Requisitos. NBN Oficina de Normalizaciónorganismo gubernamental belga responsable de la elaboración de normas en Bélgica. A su vez, el sufijo "EN" hace referencia a la publicación europea de CEN-CENELEC. El año es la versión de la norma.

¿Por qué la certificación ISO 27001?

Con el certificado ISO 27001, usted da un paso más en materia de seguridad de la información. El certificado ofrece a sus clientes la garantía de que se toma en serio la seguridad de la información, lo que le diferencia de sus competidores y reduce los riesgos de seguridad.

Mayor fiabilidad

Todo el mundo quiere estar seguro de que sus datos están en buenas manos en su organización. El certificado ISO 27001 le da una imagen de parte fiable que trata los datos personales con cuidado y cumple las leyes y normativas. Con ello, sienta las bases de un fuerte vínculo de confianza.

Cumplir los requisitos legales

Cada vez hay más leyes, reglamentos y requisitos contractuales en torno a la seguridad de la información, como el GDPR. La buena noticia es que la norma ISO 27001 proporciona una metodología perfecta para cumplirlos. Así, al mantener su SGSI, también se asegura de cumplir la legislación.

Oportunidades comerciales

Cada vez más clientes exigen que los socios con los que trabajan tengan la seguridad de la información en regla. El certificado ISO 27001 les da esa garantía. Eso no sólo contribuye a su imagen, sino que también puede brindarle oportunidades comerciales y nuevas licitaciones.

Evitar daños a la reputación

La pérdida de reputación y de clientes puede acarrear graves perjuicios económicos. Con un SGSI certificado, reducirá el riesgo de que se haga un uso indebido de la información y se mantendrá al tanto de los riesgos de seguridad en todo momento, detectando y atajando sistemáticamente las vulnerabilidades.

Contenido de la norma ISO 27001

La norma ISO 27001 -como la mayoría de las normas ISO- se redacta de acuerdo con el Principio de estructura armonizada (HS). Esto significa que estos estándares comparten un texto y una estructura comunes. Esto garantiza que los temas tratados en cada estándar se aborden siempre en el mismo lugar (capítulo y párrafo). 

La norma consta de 11 capítulos, que se muestran a continuación. Los cuatro primeros capítulos (0 a 3) contienen explicaciones generales, mientras que los capítulos 4 a 10 describen el núcleo de la norma, es decir, sus requisitos.

Capítulo 0: IntroducciónCapítulo 6: Planificación
Capítulo 1: Ámbito de aplicación (Ámbito)Capítulo 7: Apoyo
Capítulo 2: Referencias normativasCapítulo 8: Aplicación
Capítulo 3: DefinicionesCapítulo 9: Evaluación
Capítulo 4: Contexto de la organizaciónCapítulo 10: Mejora
Capítulo 5: Liderazgo
Además de los requisitos estándar descritos en la norma ISO 27001, la norma también contiene un Anexo (Anexo A) con medidas de gestión también certificadas. ISO 27002 detalla estas recomendaciones para la correcta aplicación de los controles en el anexo de ISO 27001. ISO 27001 e ISO 27002 van, pues, de la mano. Dado que esta última no es una norma de gestión, no es posible obtener la certificación ISO 27002.

¿A quién va dirigida la norma ISO 27001?

ISO 27001 es útil para cualquier organización que desee demostrar que se toma en serio la seguridad de la información. Al fin y al cabo, la información está en todas partes. Piense en los datos de los clientes, los datos de un sistema de producción, los datos del laboratorio de I+D o los informes financieros. Por ello, un SGSI ISO 27001 puede implantarse en una empresa de TIC, pero también en bancos, aseguradoras, organismos gubernamentales, instituciones sanitarias, organizaciones sin ánimo de lucro y otras empresas que posean o procesen información confidencial.

La seguridad de la información no sólo se refiere a la seguridad informática (por ejemplo, cortafuegos, antivirus, etc.), sino también al control de los procesos, la aplicación de medidas organizativas, etc. Por lo tanto, se trata sin duda de la seguridad de la información. no sólo al responsable informático, sino a toda la organizaciónque pueden beneficiarse de un certificado ISO 27001.

La serie ISO 27000

Aunque la ISO 27001 es la única norma certificable dentro de la serie 27000, puede ser útil aplicar la norma de gestión en combinación con otras normas de la misma familia. Las normas de la serie ISO 27000 ayudan a gestionar la seguridad de, por ejemplo, la información financiera, la propiedad intelectual, los datos de los empleados o la información confiada por terceros. Se compone, entre otras, de las siguientes normas y directrices:

  • ISO 27000 - "Information technology - Security techniques - Information security management systems - Overview and vocabulary" (Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Visión general y vocabulario)
  • ISO 27002 - "Information technology - Security techniques - Code of practice for information security controls" (Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para los controles de seguridad de la información)
  • ISO 27018 - "Information technology - Security techniques - Code of practice for protection of personal identifiable information (PII) in public clouds acting as PII processors" (Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de la información de identificación personal (IIP) en nubes públicas que actúan como procesadores de IIP).
  • ISO 27701 - "Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines" (Técnicas de seguridad - Ampliación de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información sobre privacidad - Requisitos y directrices)

La norma ISO 27002 ofrece una visión en profundidad de la norma ISO 27001, por así decirlo. Esto se debe a que esta norma detalla las medidas que se pueden tomar para cumplir los requisitos de la norma ISO 27001. Mientras que la norma ISO 27001 es un documento breve y conciso, la norma ISO 27002 ofrece más información y detalles.