ISO 27000 no es una sola norma de gestión. Es un conjunto, una serie de normas orientadas a la implementación de las mejores prácticas en distintos ámbitos alrededor del Sistema de Gestión de Seguridad de la Información (SGSI), orientadas a la mejora continua y a la reducción de riesgos.

Series ISO 27000, ¿En qué consiste cada una?

• ISO 27000: Plantea las bases y define el lenguaje común a usar en todas las normas de la serie. 

• ISO 27001: Es una norma certificable, en la cual se detallan todos los requisitos para implementar un SGSI.

• ISO 27002: Define las buenas prácticas que deben seguirse en la implementación del SGSI. Por medio de 114 controles, organizados en 14 dominios, con 35 objetivos de controles.  

• ISO 27003: Es una guía para la correcta implementación de un SGSI.

• ISO 27004: Marca la pauta para definir métricas para evaluar el rendimiento del SGSI. 

• ISO 27005: Define cómo se debe realizar la gestión de riesgos de la SGSI y su metodología. 

• ISO 27006: Define los requisitos que deben cumplir organizaciones que quieran ser acreditadoras de la ISO 27001.

• ISO 27007: Detalla los procedimientos a realizar en auditorías internas o externas.

• ISO 27008: Determina cómo evaluar los controles del SGSI para que sean capaces de mitigar posibles riesgos. 

• ISO 27009: Es un complemento de la norma 27001. Incluye requisitos y nuevos controles para sectores específicos. 

• ISO 27010: Determina la forma en la que debe de tratarse la información cuando se comparte con más organizaciones. Define los riesgos que podrían aparecer y los controles a implementar para contrarrestarlos. 

• ISO 27011: Define los principios para implementar, gestionar y conservar un SGSI en empresas del giro de telecomunicaciones.

• ISO 27013: Es una guía para las empresas que desean integrar las normas ISO 27001 e ISO 20000. 

• ISO 27014: Establece las bases y principios a seguir para el gobierno de la seguridad de la información. 

• ISO 27015: Define los principios a seguir para implementar un SGSI en empresas del giro financiero, tales como bancos o banca electrónica. 

• ISO 27016: Es una guía para la toma de decisiones económicas relacionadas a la gestión de la seguridad de la información.  

• ISO 27017: Es una guía con 37 controles específicos para servicios cloud, basados en la norma 27002. 

• ISO 27018: Es un complemento a la norma 27001 y 27002. Define controles y procedimientos para proteger datos personales en compañías que ofrecen servicios en la nube a terceros. 

• ISO 27019: Es una guía basada en la norma 27002 para aplicar el SGSI a empresas del giro de la energía. 

También lee: Gestión de servicios de TI y marcos de referencia

Beneficios 

Un Sistema de Gestión de Seguridad de la Información (SGSI), permite a cualquier empresa lograr tres puntos trascendentales:

• Garantizar que todos los activos e información de la empresa son usados adecuadamente (confidencialidad)
• Por otro lado, asegurar que no existen riesgos de pérdida de información
• Y garantizar la disponibilidad de la información 

¿Estás buscando alinearte a las mejores prácticas de ISO 27000?

En icorp podemos ayudarte a diseñar una estrategia de seguridad con las soluciones que mejor se adapten a tu empresa y que te permitan cumplir con las normativas.

Fuente: Global Suite Solutions, Integra