Estructura de la Norma ISO 27001:2013

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

La norma ISO 27001:2013 ¿Cuál es su estructura?

La norma ISO 27001:2013 ¿Cuál es su estructura?

ISO 27001 2013

Norma ISO 27001:2013

La norma ISO 27001:2013 no sólo establece cambios en el contenido sino también en la estructura, lo que verá reflejado en otros documentos que forman parte de la familia ISO 27000.

La norma ISO 27001:2013 ha sido desarrollada con base al Anexo SL, en la que se proporciona un formato y un conjunto de alineamiento que siguen el desarrollo documental de un Sistema de Gestión sin que le importe el enfoque empresarial, se alinean bajo la misma estructura todos los documentos que se relacionan con el Sistema de Gestión de Seguridad de la Información y así se evitan problemas de integración con otros marcos de referencia. Además, la nueva estructura queda así:

0. Introducción

En la norma ISO 27001:2013 el cambios más significativo es la eliminación de la sección “Enfoque del proceso” que sí contenía la versión 2005, donde se describía el modelo PHVA, considerándose el corazón del Sistema de Gestión de Seguridad de la Información (SGSI).

1. Alcance

En la norma ISO 27001:2013 se establece como obligatorio el cumplimiento de los requisitos especificados entre los capítulos 4 a 10 de dicho documentos, para poder obtener una conformidad de cumplimiento y así poder certificase.

2. Referencias normativas

El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013, aunque se puede considerar necesario el desarrollo de una declaración de aplicabilidad.

La norma ISO 27001:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.

3. Términos y definiciones

Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola guía de términos y definiciones que sea consistente.

4. Contexto de la organización

Durante esta cláusula de la norma ISO 27001:2013 se identifican todos los problemas externos e internos que rodean a la empresa:

  • Se intuyen todos los requisitos para definir el contexto del SGSI sin importar el tipo de empresa que sea y el alcance que tenga.
  • Se introduce una nueva figura como un elemento primordial para definir el alcance del SGSI
  • Se establece la prioridad de identificar y definir todas las necesidades de las partes interesadas con relación a la seguridad de la información y las expectativas creadas por el Sistema de Gestión de Seguridad de la Información, ya que esto determinará las políticas de Seguridad de la Información y todos los objetivos a seguir para el proceso de gestión de riesgos.

5. Liderazgo

Se realiza un ajuste de la relación y las responsabilidades de la gerencia de la organización con respecto al Sistema de Gestión de Seguridad de la Información, destacando como se deberá demostrar el compromiso, como por ejemplo:

  • Garantizar que los objetivos del SGSI y la política de seguridad de la información, antes se conocía como la política del SGSI.
  • Se debe garantizar la disponibilidad de todos los recursos para la implantación del SGSI.
  • Se garantiza que los roles y las responsabilidades para la seguridad de la información se asignan y se comunican de forma adecuada.

6. Planeación

En este apartado de la norma ISO 27001:2013 se enfoca a la definición de los objetivos de seguridad como un todo, los cuales deben estar claros y se deben contar con planes específicos para conseguirlos.

Se puede presentar grandes cambios en el proceso de evaluación de riesgos:

  • El proceso para evaluar los riesgos ya no se encuentra enfocado a los activos, las vulnerabilidades y las amenazas.
  • La metodología se enfoca con el objetivo de identificar todos los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información.
  • El nivel de riesgos se determina con base a toda probabilidad de que ocurra un riego y las consecuencias generadas, si el riesgo se materializa.
  • Se elimina el término propietario del activo y se adopta el término propietario del riesgo.
  • Los requisitos no han sufrido transformaciones significativas.

7. Soporte

Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:

  • Recursos
  • Personal competente
  • Conciencia y comunicación de todas las partes interesadas.

Se incluye una nueva definición que es “información documentada”, ésta sustituye a los términos “documentos y registros”, establece el proceso de documentar, mantener, controlar y conservar la documentación que corresponde al Sistema de Gestión de Seguridad de la Información.

La norma ISO 27001:2013 se enfoca en el contenido de los documentos y no en que existe un determinado número de éstos.

8. Operación

Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de Seguridad de la Información, todas las expectativas de la gerencia de la organización y la retroalimentación sobre estas, además de cumplir con la norma ISO 27001:2013.

Además, la organización se plantea y controla las operaciones y los requisitos de seguridad, el pilar de este proceso se centra en realizar las evaluaciones de riesgos de seguridad de la información de forma periódica por medio de un programa elegido.

Todos los activos, las vulnerabilidades y las amenazas ya no son la base principal de la evaluación de riesgos. Solo se requiere para realizar la identificación de los riesgos, que están asociados a la confidencialidad, la integridad y la disponibilidad.

9. Evaluación del desempeño

La base para poder realizar la identificación y la medición de la eficiencia y el desempeño que realiza el Sistema de Gestión de Seguridad de la Información continúa siendo las auditorías internas y las revisiones del SGSI.

Se tiene que considerar el estado en el que se encuentran los planes de acción para poder atender las no conformidades como es debido, además se establece la necesidad de definir quién y cuándo realiza las evaluaciones, además de quien tiene que analizar la información que se ha recolectado.

10. Mejora

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tiene que contabilizarse y compararse con las accione correctivas para asegurarse de que no se repitan y que las acciones correctoras que se realicen sean efectivas.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

 

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 4,50 out of 5)
Cargando...

Loading Facebook Comments ...