Por J. Oscar Alvarez de la Cuadra López.
Después de una revisión, el 25 de septiembre del 2013, se anunció esta nueva versión de ISO/IEC 27001 que sustituye a la versión 2005 y que ha encontrado una gran cantidad de usuarios especialmente en la banca, contact centers y muchas otras organizaciones donde se vuelve muy importante garantizar el buen manejo de la información y reducir los riesgos asociados a la misma, como el activo de alto valor que representa en cualquier organización.
De la misma forma se emite en paralelo la nueva revisión de la ISO/IEC 27002:2013. Esta norma de guía, proporciona directrices para las normas de seguridad de información de la organización y las prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta la información del entorno de riesgos de seguridad de la organización. Está diseñada para emplearse por las organizaciones que pretenden seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001, implementar controles de seguridad de la información generalmente aceptadas y desarrollar sus propias directrices de gestión de información de seguridad.
Estas normas son publicadas conjuntamente a través de la Organización Internacional para la Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC), el organismo de normalización internacional hermano de la ISO también ubicado en Ginebra, Suiza, cuyo alcance de normalización es en el sector electrotecnológico.
La norma ISO /IEC 27001:2013 cuenta diez cláusulas cortas, además de un anexo, que abarcan:
- Alcance y campo aplicación de la norma
- Referencia al documento
- La reutilización de los términos y definiciones de la norma ISO/IEC 27001
- Contexto organizacional y las partes interesadas
- Liderazgo en seguridad de la información y apoyo de alto nivel para la política
- Diseño de un sistema de información de gestión de seguridad , evaluación de riesgos, tratamiento de riesgos
- Apoyar un sistema de gestión de seguridad de la información
- Hacer un sistema de gestión de seguridad de información operativa
- Revisar el funcionamiento del sistema
- La acción correctiva
Anexo A: Lista de los controles y sus objetivos.
Esta estructura refleja la con la nueva estructura de alto nivel de otras normas de gestión nuevos, tales como ISO 22301 (gestión de la continuidad del negocio ) y la estructura que habrá de adoptar ISO 14001 y ISO 9001 en sus futuras revisiones. Algunos de los nuevos cambios son en terminología, el reemplazo del requisito de acciones preventivas por medidas para hacer frente a riesgos y oportunidades, muy similar a uno de los cambios propuestos en ISO/CD 9001:2015 y el énfasis en determinar objetivos y medición del desempeño y sus métricas asociadas.
Los requisitos establecidos en la norma ISO/IEC 27001:2013 son, como los de otros sistemas de gestión (ISO 9001, ISO 14001 o ISO 22000), genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza.
No deje de visitar el tutorial sobre ISO/IEC 27001 en nuestro canal de YouTube para aprender más de esta norma.
y visite la página de ISO con la liga para descargar la norma (previo pago):
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534