La serie ISO 27000
ISO 27001
Como otras normas ISO, el estándar internacional ISO 27001 también cuenta con una serie de normas, la familia de normas ISO 27000.
ISO tiene reservado una serie de número que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie:
ISO 27000
Contienen los términos y definiciones que se utilizarán durante toda la seria 27000. Para aplicar cualquier estándar necesita conocer un vocabulario claramente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita, a diferencia de las demás de la serie de normas, que sí que suponen un coste.
ISO 27001
La última versión ha sido publicada en el año 2013. Es la principal norma de toda la serie, ya que contiene todos los requisitos del Sistema de Gestión de Seguridad de la Información. El origen de dicha norma se basa en la BS 7799-2:2002 y es la norma con la que se certificaban mediante auditores externos el Sistema de Gestión de Seguridad de la Información las empresas. La ISO 27001 sustituye a la BS 7799-2, estableciendo unas condiciones de transición para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A, se enumeran los objetivos de control y los controles que desarrolla la norma ISO 27001, para que se puedan seleccionar las organizaciones durante el desarrollo de sus Sistema de Gestión de Seguridad de la Información. Aunque no sea obligatoria su implementación de todos los controles que se enumeran en el Anexo A, la empresa podrá argumentar la no aplicabilidad de los controles que no se encuentren implementados. Esta norma fue publicada en España como UNE-ISO/IEC 27001_2013 y se pueden adquirir mediante AENOR.
ISO 27002
Es una guía de buenas prácticas, en la que se describen los objetivos de control y los controles recomendables en cuanto a la seguridad de la información. No es una norma certificable. En ella podemos encontrar 39 objetivos de control y 133 controles, agrupados en 11 dominios diferentes. Como hemos mencionado, la norma ISO 27001 contiene un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.
ISO 27003
Es una guía para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del modelo PDCA y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de diferentes años con recomendaciones y guía de implementación.
ISO 27004
En esta norma se especifican las métricas y las técnicas de medida que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo PDCA.
ISO 27005
Esta norma establece las diferentes directrices para la gestión de los riesgos en la seguridad de la información. Apoya a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar de una forma satisfactoria la seguridad de la información basada en un enfoque de gestión de riesgos. Conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO 27001 e ISO 27002 es muy importante ya que es necesario para comprender a la perfección a la norma ISO 27005, dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la organización en temas de seguridad de la información.
ISO 27006
Esta norma específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. Es una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Por lo que ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.
ISO 27007
Es una guía de auditoría de un Sistema de Gestión de Seguridad de la Información.
ISO 27011
Es una guía de gestión de seguridad de la información específica para telecomunicaciones, ha sido elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031
Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones.
ISO 27032
Es una guía relativa a la ciberseguridad.
ISO 27033
Consiste en 7 partes:
- Gestión de seguridad de redes
- Arquitectura de seguridad de redes
- Escenarios de redes de referencia
- Aseguramiento de las comunicaciones entre redes mediante gateways
- Acceso remoto
- Aseguramiento de comunicaciones en redes mediante VPNs
- Diseño e implementación de seguridad en redes.
ISO 37034
Es una guía de seguridad en aplicaciones.
ISO 27799
Es una estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27, sino que la lleva a cabo el comité técnico TC 215. La norma ISO 27799 define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por las empresas del sector sanitario.
Software para SGSI
El Software ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.