domingo, 9 de septiembre de 2012

ISO 27001 e ISO 27002 ¿Quién es Quién?


Finalizando ya el período estival y retomando por tanto el ritmo de la actividad normal quiero abordar un tema, que tal vez parezca intrascendente, pero que es siempre lioso cuando nos aproximamos por primera vez a una de las familias (o series) de normas de ISO. Me refiero a que es y para qué sirve cada uno de los elementos que componen la familia.

Lamentablemente ISO, Organización Internacional de Normalización, no ha normalizado aún su propio método de nombrar y numerar las normas. Por tanto para cada familia la asignación de códigos numéricos es diferente.
Centrándonos en la Seguridad de la Información nos encontramos con la familia ISO 27000 cuyos documentos más relevantes son ISO 27001 e ISO 27002, ambas traducidas al castellano y adoptadas como normas españolas. Las podemos encontrar como UNE-ISO/IEC 27001 y UNE-ISO/IEC 27002. Pero ¿Qué son y que aporta cada una de ellas? Veamos:
ISO 27001 es una norma que establece las características que debe tener el sistema de gestión de la seguridad de la información (SGSI). Se trata de una norma certificable, es decir si implantamos un SGSI según los preceptos de ISO 27001 podemos obtener un certificado público de dicha implantación. Estos certificados tienen un gran reconocimiento entre las empresas y generan un alto grado de confianza.
Evidentemente existen muchos modelos y formas de implementar un SGSI pero solo son certificables por ISO los que se basan en la norma ISO 27001.
ISO 27001 se centra por tanto en el SGSI y no pone el énfasis en las medidas de seguridad en sí mismas. Solo en Anexo incorpora una relación de objetivos a controlar (asegurar) y controles (medidas de seguridad) a implantar.
ISO 27002 no es una norma propiamente dicha. Es una colección perfectamente estructurada y muy completa de los objetivos de control (elementos que deben ser asegurados) y los controles asociados.
ISO 27002 no es certificable, pero para certificar una implantación de ISO 27001 ésta debe contemplar todos los controles de ISO 27002 (incluso si alguno no se implanta debe justificarse su exclusión y los controles sustitutorios si los hay).
Por otro lado ISO 27002 puede ser utilizado independientemente de ISO 27001 y dar soporte a cualquier SGSI o proyecto de seguridad ya que su completitud garantiza el considerar todos los aspectos relevantes en la seguridad de la información.
Además de las ya mencionadas la familia ISO 27000 incluye otras normas como ISO 27000 (vocabulario), ISO 27003 (directrices para el proceso de implantación), ISO 27004 (métricas de control del SGSI),… Hablaremos de ellas y su situación en una próxima entrada en el blog.





Imagen: Logo de ISO International Organization for Standardization

Publicado por Jaez a las 13:06
Claves: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Licencia de Creative Commons
Las ideas de InnoSIB by InnoSIB is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License