Comparativa entre la ISO 27001:2013 y la ISO 27001:2005
ISO 27001
La norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001. La revisión se ha llevado a cabo tomando la experiencia práctica de la utilización de la norma durante estos años. Ha habido dos influencias principales para llevar a cabo la revisión.
La primera influencia es la necesidad de que todas las normas ISO deben cumplir con la estructura de alto nivel denominada “Anexo SL”, la conformidad con dichos requisitos generarán una tendencia a hacer que todos los Sistemas de Gestión de las normas tengan el mismo aspecto, con la principal intención de que la integración de los diferentes sistemas de gestión sea mucho más fácil.
La segunda influencia es por la necesidad de alinear la norma ISO-27001 con todos los principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo. Es bueno para la integración de sistemas, ya que una organización puede aplicar la misma metodología de evaluación de riesgo mediante diferentes disciplinas.
El resultado de la revisión es que una enorme diferencia entre la norma ISO27001:2013 y la norma ISO-27001:2005. Ahora no se duplican requisitos, permite una mayor libertad de elección sobre cómo poner en práctica la norma. Un buen ejemplo es que la identificación de activos, las amenazas y las vulnerabilidades ya no es un requisito previo a la identificación de los riesgos de Seguridad de la Información.
En la siguiente tabla podemos identificar los nuevos conceptos que se han introducido o actualizado:
Introducción
En particular, la sección donde se habla sobre el modelo PHVA (Planificar-Hacer-Verificar-Actuar) se ha eliminado. La razón de esto es que el requisito para la mejora continua y el PHVA es solo una propuesta para cumplir este requisito. Ahora las organizaciones son libres de utilizarlas o no.
En la introducción también se llama la atención del orden en el que se presentan los requisitos, en los que se indica el orden, aunque no se refleje su importancia o, sin embargo, se plantea el orden en que quiere ser implementado.
Alcance
Es una cláusula mucho más corta. En particular, no se hace referencia a la exclusión de los controles en el anexo A.
Referencias normativas
La única referencia normativa es la norma ISO 27000 de Información Tecnológica – Técnicas de seguridad – Sistema de Gestión de Seguridad de la Información – Información general y vocabulario.
Términos y definiciones
Ya no hay términos o definiciones de la norma ISO 27001:2013. En su lugar, se recomendó acudir a la norma ISO 27000, aunque debe asegurarse de utilizar la versión de la norma que se publicó después de la norma ISO 27001:2013, de lo contrario, no serán los términos o definiciones correctos.
Es documento es bastante importante, ya que muchos términos han sido modificados, por ejemplo, “Sistema de Gestión” y “control” se han cambiado y ahora se ajustan a las definiciones contenidas en la nueva norma ISO27001:2013 y la ISO 31000. Si tenemos el caso de que un término no se encuentre definido en la norma ISO 27000, se deberá utilizar la definición dada por el diccionario inglés de Oxford, es la única forma de no llegar a confusión o malentendidos.
Contexto de la organización
Es una cláusula nueva, que aborda el concepto de medidas preventivas y establece el contexto para la implementación del Sistema de Gestión de Seguridad de la Información. Esta cláusula cumple con todos los objetivos mediante el enlace de cuestiones internas a la organización y externas con los requisitos de las partes interesadas para determinar el alcance del Sistema de Gestión de Seguridad de la Información.
Hay que señalar que el término “problema” abarca no solamente a los problemas, propiamente dichos, sino que ha sido objeto de una acción preventiva en los estándares, que también son importantes para abordar el SGSI, es como cualquier sistema de garantía de mercado.
Se debe tener en cuenta que el término “requisito” es una “necesidad o expectativa establecida, generalmente implícita u obligatoria”. Los requisitos convidados con otra cláusula puede ser considerado como un requisito de gobierno, lo que hace que el Sistema de Gestión de Seguridad de la Información no se ajuste a las expectativas públicas y se generen no conformidades con la norma.
El último requisito es establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información de acuerdo con todos los requisitos de la norma ISO 27001.
Software para un SGSI
El Software ISO-27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.