ISO 27009
Por Claire Naden

Agosto 15, 2016

Con el aumento de las amenazas informáticas que ponen en riesgo a las empresas e industrias, es más importante que nunca que las organizaciones a proteger su información y la de sus clientes. No es de extrañar, entonces, que la norma ISO para la seguridad de la información, ISO / IEC 27001, sea usada tan ampliamente. Una nueva norma que acaba de publicarse, llevará un paso más allá, ayudando a aplicar los requisitos de esta norma insignia a sectores específicos.

Al ofrecer una protección más a la medida de sectores específicos (por ejemplo, finanzas, el transporte, cuidado de la salud y proyectos de infraestructura, como ciudades inteligentes) la protección de amenazas a su información se ha convertido en un imperativo económico, político y comercial , identificando la necesidad de ciber normas específicas para cada sector. La reciente publicación de ISO / IEC 27009 ayudará a los normalizadores a hacer precisamente eso, proporcionando la asesoría y orientación necesarios sobre cómo crear normas de guía y consejo al aplicar la norma ISO / IEC 27001 a los sectores individuales.

La ISO / IEC 27009, Tecnología de la información – Técnicas de seguridad – para aplicación específica por sector de la norma ISO / IEC 27001 – Requisitos, se une a la familia de normas ISO / IEC 27000 para ayudar a maximizar la eficacia de la ISO / IEC 27001. En ésta se explica cómo incluir requisitos y controles adicionales a los de ISO / IEC 27001 que son aplicables a sectores específicos, lo que les permita lograr consistencia en el desarrollo de normas en esta familia.

El Prof. Edward Humphreys, Coordinador de la norma ISO / IEC SC 27 / WG 1, el grupo de trabajo que desarrolló la norma, menciona que ISO/IEC 27001 es el lenguaje común internacional para la gestión de seguridad de la información, por lo que la norma ISO/IEC 27009 mejorará este lenguaje común a través de el paisaje sectorial y dará forma al desarrollo de normas específicas para la seguridad y privacidad de la información por sector.

“Ya hemos desarrollado varias normas específicas por sector, tales como ISO/IEC 27011 para las telecomunicaciones, ISO/IEC 27017 para la computación en la nube y la ISO/IEC 27019 para el sector de la energía. Estas normas son ejemplos en los que se han definido los controles, adicionales a los de la norma ISO / IEC 27001, para satisfacer las exigencias de los sectores específicos de que se traten. En el desarrollo de estas normas, se hizo evidente que la estructura y el lenguaje armonizado, basado en la norma ISO / IEC 27001, y la orientación específica haría que fuera más eficaz el desarrollo de normas futuras específicas del sector y evitar la duplicación.

“ISO / IEC 27009 se asegurará de que el desarrollo de nuevas normas y revisión de las existentes en sectores específicos, pueden todas adoptar un enfoque que es consistente con la norma ISO / IEC 27001. Por lo tanto, proporcionará guía sobre la forma de ampliar, perfeccionar o interpretar los requisitos de la norma ISO / IEC 27001 y cómo añadir o modificar la orientación para la implementación de la norma ISO / IEC 27002 para su utilización específica para el sector “.

ISO / IEC 27009 puede adquirirse a través del miembro local ISO o a través de la tienda ISO.

Traducción no oficial de Grupo CRASA y Asociados, S.C.