Finalizando ya el
período estival y retomando por tanto el ritmo de la actividad normal quiero
abordar un tema, que tal vez parezca intrascendente, pero que es siempre lioso
cuando nos aproximamos por primera vez a una de las familias (o series) de
normas de ISO. Me refiero a que es y para qué sirve cada uno de los elementos
que componen la familia.
Lamentablemente
ISO, Organización Internacional de Normalización, no ha normalizado aún su
propio método de nombrar y numerar las normas. Por tanto para cada familia la
asignación de códigos numéricos es diferente.
Centrándonos en la
Seguridad de la Información nos encontramos con la familia ISO 27000 cuyos
documentos más relevantes son ISO 27001 e ISO 27002, ambas traducidas al
castellano y adoptadas como normas españolas. Las podemos encontrar como
UNE-ISO/IEC 27001 y UNE-ISO/IEC 27002. Pero ¿Qué son y que aporta cada una de
ellas? Veamos:
Evidentemente
existen muchos modelos y formas de implementar un SGSI pero solo son
certificables por ISO los que se basan en la norma ISO 27001.
ISO 27001 se centra
por tanto en el SGSI y no pone el énfasis en las medidas de seguridad en sí
mismas. Solo en Anexo incorpora una relación de objetivos a controlar (asegurar)
y controles (medidas de seguridad) a implantar.
ISO 27002 no es una norma propiamente
dicha. Es una colección perfectamente estructurada y muy completa de los
objetivos de control (elementos que deben ser asegurados) y los controles
asociados.
ISO 27002 no es
certificable, pero para certificar una implantación de ISO 27001 ésta debe
contemplar todos los controles de ISO 27002 (incluso si alguno no se implanta
debe justificarse su exclusión y los controles sustitutorios si los hay).
Por otro lado ISO
27002 puede ser utilizado independientemente de ISO 27001 y dar soporte a
cualquier SGSI o proyecto de seguridad ya que su completitud garantiza el
considerar todos los aspectos relevantes en la seguridad de la información.
Además de las ya
mencionadas la familia ISO 27000 incluye otras normas como ISO 27000
(vocabulario), ISO 27003 (directrices para el proceso de implantación), ISO
27004 (métricas de control del SGSI),… Hablaremos de ellas y su situación en
una próxima entrada en el blog.
Imagen: Logo de ISO International
Organization for Standardization
No hay comentarios:
Publicar un comentario