Actualización de ISO/IEC 27007, la norma para auditar SGSI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Actualización de ISO/IEC 27007, la norma para auditar SGSI

Actualización de ISO/IEC 27007, la norma para auditar SGSI

ISO/IEC 27007

ISO/IEC 27007

El artículo de hoy está centrado en ISO/IEC 27007:2017, la norma para auditoría de sistemas de gestión de seguridad de la información. Cuando pensamos en Sistemas de Gestión de Seguridad de la Información, pensamos simplemente en ISO/IEC 27001:2013. Esto es un grave error, pues como veremos a continuación, la familia de estas normas en mucho mayor.

Familia ISO/IEC 27000

Podemos definir la familia ISO/IEC 27000 como el conjunto de estándares de seguridad que proporcionan un marco para gestionar la seguridad.

Es necesario establecer prácticas recomendadas en seguridad de la información para desarrollar, implantar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información. Estas prácticas se pueden aplicar a cualquier tipo de organización, sin importar sector o tamaño.

Esto afecta a toda la familia ISO/IEC 27000, incluyendo incluyo a ISO/IEC 27007. Todas las normas que componen este grupo tienen funciones o alcances diferentes para que de este modo establezcamos las mejores y más recomendadas prácticas en seguridad de la información a la hora de establecer nuestro sistema de Gestión de la Seguridad de la Información.

Debemos comprender que un Sistema de Gestión de Seguridad de la Información basado en la familia de ISO/IEC 27000 debe incluir estas 3 características:

  • Confidencialidad para asegurar que la información no se muestre en lugares o a personas no autorizadas.
  • Se debe mantener la integridad de la información tal y como se ha recibido. Sin alteración alguna.
  • Disponibilidad: es fundamental poder acceder y disponer de la información por parte de las personas autorizadas en cualquier momento.

Norma ISO/IEC 27007

Como dijimos al principio, nos centraremos un poco más en esta norma en concreto de la familia.

ISO/IEC 27001:2017 Information technology — Security techniques — Guidelines for information security management systems auditing, está basada en ISO 19011. La norma, nos proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores en la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

A diferencia de ISO 19011, ISO/IEC 27007 está diseñada específicamente para auditar y así garantizar el cumplimento de los requisitos de un Sistema de Gestión de Seguridad de la Información.

¿Cuáles son las modificaciones?

  • Se ha alineado con la norma ISO 19011: 2018.
  • El texto de la cláusula se ha eliminado 5.1.1.
  • En la cláusula 5.2.1, el artículo b) anterior se ha eliminado.
  • El texto de la cláusula clausula 5.3, se ha eliminado.
  • En la cláusula 5.5.2.1, el anterior artículo b) ha sido eliminado;
  • El primer párrafo de la cláusula 6.5.2.1, ha sido eliminado y la NOTA ha sido redactada nuevamente.

Esta norma es de especial interés para aquellos auditores o equipos de auditoría interna de los Sistemas de Gestión de Seguridad de la Información, ya que se alinea con los requisitos de la cláusula 9.2 de ISO/IEC 27001:2013.

En otras palabras, a pesar de que esta norma está basada en ISO 19011, está específicamente a los Sistemas de Gestión de Seguridad de la Información. Entre las funciones específicas que debe tener encontramos:

  • Administración del programa de auditoría del Sistema de Gestión de Seguridad de la Información. Todo con el objetivo de determinar que se debe auditar, cuándo y cómo. También debe asignar los auditores apropiados, administrar todos los riesgos, mantener registros de auditoría, mejorar de forma continua el proceso, etc.
  • Realización de una auditoría. Es necesario realizar una planificación, establecer una conducta, llevar a cabo las actividades clave de auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el seguimiento.
  • Gestión de auditores del Sistema de Gestión de Seguridad de la Información, como puede ser competencias, habilidades, atributos y evaluación.

Diplomado Implementador ISO/IEC 27001

En este artículo hemos señalado que ISO/IEC 27007 pertenece a la familia ISO/IEC 27000. Su función es auditar a los Sistemas de Gestión de Seguridad de la Información que están basados en ISO/IEC 27001. Por lo tanto, si queremos aplicar esta norma debemos contar con un SGSI. Si usted está preocupado por la Seguridad de la Información de su organización, puede pensar en aplicar los requisitos de la norma sin necesidad de certificarse. No obstante, para aplicar correctamente estos requisitos, es necesario conocer la norma. Por ello, le ofrecemos el Diplomado implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Esta formación le permitirá conocer al detalle la norma. De este modo, conocerá los principios y cómo aplicarlos para garantizar la seguridad de la información de su empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…