SERIES 27000 (ISO 27001, ISO 27002, ISO 27000)
La información, en los últimos años, ha sido considerada un activo vital para el éxito de una organización, por consiguiente, se cuida mucho su manejo y uso, ya que, de esto dependerá si una organización permanece o no en un mercado.
Las organizaciones más famosas e importantes en el mundo tienen como objetivó primordial siempre, el aseguramiento de la información que poseen y de los sistemas que la procesan. Por lo tanto, buscan un sistema que gestione la seguridad de la información de forma metódica, documentada y que se base en unos objetivos claros de seguridad tanto en la evaluación de los riesgos, como en los controles a utilizar para proteger la información.
ISO/IEC 27001 es un conjunto de estándares desarrollados por International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC) que brindan un Marco de gestión de la seguridad de la información, ahora este sistema del que se basa toda la norma internacional, puede llegar a ser utilizado por cualquier tipo de organización ya sea esta pública o privada, grande o pequeña.
Origen
La British Standards Institution (BSI) fundada en 1901, es considerada la primera entidad de normalización a nivel mundial y es responsable de la publicación de importantes normas como:
- BS 5750 publicada en 1979 - Ahora ISO 9001
- BS 7750 publicada en 1992 - Ahora ISO 14001
- BS 88000 publicada en 1996 - Ahora OHSAS 18001
La BS 7799 de BSI aparece por primera vez en 1995 y su objetivo era brindar una guía de buenas prácticas para las empresas británicas en la gestión de la seguridad de la información. Ahora, la BS 7799 aunque brinda unas muy buenas prácticas no establece un esquema de certificación. Por lo tanto, fue necesario publicar la BS 7799-2 de 1998, la cual si establece los requisitos que debe tener un sistema de gestión de la seguridad de la Información (SGSI) para ser certificable por una entidad Independiente.
Las dos partes de las Normas BS 7799 se revisaron a detalle en 1999 y la primera parte fue adoptada por ISO, sin hacer ningún cambio principal o relevante a la publicación inicial, y fue conocida en el año 2000 como ISO 17799.
En 2002 se volvió a revisar la BS 7799-2 para ser adecuada como norma ISO, y en 2005 con más de 1700 empresas certificadas en BS7799-2, se publicó por ISO como estándar ISO 27001, también al mismo tiempo se analizó y actualizo la ISO 17799 originando que se renombrara como ISO 27002 en 2005 y se publicó oficialmente el 1 de julio de 2007.
27000 SERIES
La 27000 es una serie de estándares que contienen las mejores prácticas recomendadas en seguridad de la información.
- ISO 27000 se encuentra en fase de desarrollo y su objetivo principal es brindar un vocabulario para la (SGSI) con el fin de evitar distintas interpretaciones de conceptos técnicos. Esta norma está prevista que sea gratuita.
- ISO 27001 es la norma principal de la serie, fue publicada en 2005 y es la norma a la cual se certifican los auditores externos a los (SGSI de las organizaciones), sustituyo la BS 7799-2. Por lo tanto, estableció una condición de transición para aquellas empresas u organizaciones que se encontraban certificadas en la BS 7799-2 que eran alrededor de 1700.
- ISO 27002 fue publicada en 2007 pero mantiene la actualización y edición que se hizo en el 2005. Es una guía de buenas prácticas para los sistemas de gestión de la seguridad de la información. Por lo tanto, plantea los objetivos de calidad y controles a la seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles agrupados en 11 dominios.
“La serie 27000 enumeradas por ISO van desde la 27000 a 27019 y de 27030 a 27044.”
Enlaces
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_13.swf
