La norma NTP-ISO/IEC 17799 tiene el objetivo de proteger, de una forma adecuada, los activos de información que forman parte de la organización, al igual que el estándar internacional ISO 27001. Todos los activos de información tienen que ser considerados y deben tener un responsable asignado.
Según el estándar internacional ISO 27001 el submodelo de procesos define de forma sistémica el camino que se debe seguir para realizar un proyecto de análisis y gestión de riesgos. Este submodelo es el marco de trabajo en el que se agrupan y ordenan todas las acciones que se realizan y además, incluye todas las dificultades para conseguirlo. Resumiendo define lo siguiente:
Según la norma NTP-ISO/IEC 17799 todos los requisitos identificados con respecto a la Seguridad de la Información deben encontrarse junto a los requisitos de la norma a la hora de ofrecerles a los clientes el acceso a los activos de información, algo parecido pasa con la norma ISO 27001.
La norma ISO 27001 establece que las personas relacionadas con el Sistema de Gestión de Seguridad de la Información deben estar capacitadas y concienciadas. La falta de capacitación y concienciación es uno de los principales motivos de fracaso de los proyectos de Seguridad de la Información en las organizaciones.
El sistema MAGERIT define el servicio de salvaguarda como la acción genérica que puede producir un riesgo y el mecanismo de salvaguarda como el procedimiento que lo reduce. La norma ISO 27001 fue creada para reducir el riesgo, pero para esto se necesita mejorar las salvaguardas que ya existen o introducir nuevas.
El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 ofrece la protección ante cualquier amenaza que pueda poner en peligro a las organizaciones, tanto públicas como privadas, por el contrario podrían realizarse algún daño para la salud empresarial.
La norma ISO 27001 ofrece el alcance de la organización para poder gestionar la implementación del Sistema de Seguridad de la Información. Se debe revisar de forma independiente en intervalos de tiempo planificados.
Todos los detalles del proyecto de implantación de un Sistema de Gestión de Seguridad de la Información ISO 27001 dependen de los objetivos marcados por la organización. Sin tener en cuenta los enfoques que adopte, se tendrá que basar la organización en gestionar los riesgos con la Seguridad de la Información.
A la hora de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 se debe tener en cuenta el riesgo al que se ven sometidos los activos de información en el día a día de una organización.
El objetivo perseguido por la NTP-ISO/IEC 17799 es gestionar la Seguridad de la Información dentro de la organización, algo muy parecido a lo que persigue la norma ISO 27001.
