Relaciones entre ISO 31000 e ISO 27001 en la gestión de riesgos

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Relaciones entre ISO 31000 e ISO 27001 en la gestión de riesgos

Relaciones entre ISO 31000 e ISO 27001 en la gestión de riesgos

ISO 31000 e ISO 270001

ISO 31000 e ISO 270001

Es importante tener en cuenta que para llevar a cabo la implementación de Sistema de Gestión de Seguridad de la información según  ISO 27001 será preciso hacer uso de ISO 31000 lo cierto es que la primera puede resultar muy útil para la aplicación de la segunda a pesar de que existen muchas diferencias entre ambas.

ISO 31000

ISO 31000 establece las directrices acerca de la forma de gestionar los riesgos – de cualquier tipo – en las compañías, sin concentrarse únicamente en la seguridad de la información ya que aborda también cuestiones como la continuidad de negocio, el mercado, e incluso riesgos operacionales, entre otras.

Dicha norma, también establece un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo PDCA (Planificación, ejecución, seguimiento y mejora), para la gestión del riesgo.

ISO 31000 no proporciona una metodología concreta o exclusiva, ya que el tratamiento del riesgo es general. Aborda cualquier tipo de riesgos sin profundizar en ninguno de ellos.

 

 

ISO 27001

Por su parte, ISO 27001 es un estándar especializado en la seguridad de la información. Según esta, una organización debe establecer procesos que le permitan salvaguardar, controlar, almacenar su información gestionando cualquier riesgo que pudiese afectarla eventualmente.

Pero entonces, conociendo las diferencias entre ISO 31000 e ISO 27001, ¿Cuál es la relación entre ambas? ¿Por qué, muchas organizaciones creen que una es indispensable para la aplicación de la otra?

Relación entre ISO 31000 e ISO 27001

La relación entre ambas certificaciones surge de la última actualización de ISO 27001, la de 2013, en la que se menciona el estándar ISO 31000. Una referencia que no se realizaba en la versión anterior, la del año 2005.

Pero ¿En qué parte de la norma se establece la relación exactamente? 

“Cláusula 4.1 La organización puede considerar los contextos externos e internos de acuerdo con la cláusula 5.3 de la norma ISO 31000”. Por supuesto, si leemos con detalle las cláusulas 5.3.2 y 5.3.3 de ISO 31000 entendemos que son muy útiles, ya que proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos en una organización.

Pero por supuesto, es bueno tener en cuenta que esta mención es hecha en una nota, lo que indica que no son directrices obligatorias. Es solo un punto de referencia.

Por otro lado, en la cláusula 6.1.3 de ISO 27001 se indica que “la Gestión de la Seguridad de la información, está alineada con la norma ISO 31000”. Es claro que esto no significa que un estándar se convierta en requisito esencial del otro. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 27001  

Como ya lo hemos advertido, ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la Seguridad de la información y la Gestión de tales riesgos. Por el contrario, ISO 27001 sí lo hace y de una forma sobresaliente.

ISO 27001 proporciona el Know-how necesario para identificar activos, amenazas y vulnerabilidades, pero también para evaluar las consecuencias de un determinado riesgo y calcular su probabilidad de ocurrencia.

Queda claro que no necesitamos ISO 31000 para implementar ISO 27001. Aunque esto no significa que ISO 31000 no resulte de utilidad, sobre todo para identificar contextos externos e internos y para obtener un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la organización.

Teniendo en cuenta que ISO 31000 ayuda a abordar la Gestión de Riesgos de forma estratégica y global, se puede considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en asocio – no dependencia – de cualquier otra norma, incluida por supuesto ISO 27001.

Software ISOTools Excellence

La plataforma tecnológica ISOTools Excellence ayuda a las organizaciones a implementar y administrar con éxito y de forma oprtimizada Sistemas de Gestión de Riesgos basados en las normas ISO 31000 e ISO 27001.

Para ello, incorpora una completa funcionalidad orientada a facilitar y mejorar la eficiencia de la gestión en el día a día así como aplicativos específicos para la gestión de procesos, gestión de riesgos, evaluación del Sistema, activación y ejecución de acciones de mejora así como indicadores e información en tiempo real para la toma de decisiones.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...