ISO/IEC 27001 es un estándar internacional sobre cómo gestionar la seguridad de la información . La norma fue publicada originalmente de forma conjunta por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005 [1] y luego revisada en 2013. [2] Detalla los requisitos para establecer, implementar, mantener y mejorar continuamente una Sistema de gestión de seguridad de la información (SGSI): cuyo objetivo es ayudar a las organizaciones a hacer que los activos de información que poseen sean más seguros. [3] En 2017 se publicó una actualización europea de la norma . [4]Las organizaciones que cumplen con los requisitos de la norma pueden optar por ser certificadas por un organismo de certificación acreditado luego de completar con éxito una auditoría . La efectividad del proceso de certificación ISO/IEC 27001 y el estándar general se ha abordado en un estudio reciente a gran escala. [5]
La mayoría de las organizaciones tienen una serie de controles de seguridad de la información . Sin embargo, sin un sistema de gestión de la seguridad de la información (SGSI), los controles tienden a ser algo desorganizados y desarticulados, y se han implementado a menudo como soluciones puntuales para situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en funcionamiento generalmente abordan ciertos aspectos de la tecnología de la información (TI) o la seguridad de los datos.específicamente; dejando los activos de información que no son de TI (como el papeleo y el conocimiento patentado) menos protegidos en general. Además, la planificación de la continuidad del negocio y la seguridad física pueden administrarse de manera bastante independiente de la seguridad de la información o de TI, mientras que las prácticas de recursos humanos pueden hacer poca referencia a la necesidad de definir y asignar roles y responsabilidades de seguridad de la información en toda la organización.
Los controles que se probarán como parte de la certificación ISO/IEC 27001 dependen del auditor de certificación. Esto puede incluir cualquier control que la organización haya considerado que está dentro del alcance del SGSI y esta prueba puede ser de cualquier profundidad o extensión según lo evalúe el auditor según sea necesario para probar que el control se ha implementado y funciona de manera efectiva.
La gerencia determina el alcance del SGSI con fines de certificación y puede limitarlo, por ejemplo, a una sola unidad comercial o ubicación. El certificado ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de alcance, tenga un enfoque adecuado para la gestión de la seguridad de la información.
Otras normas de la familia de normas ISO/IEC 27000 brindan orientación adicional sobre ciertos aspectos del diseño, implementación y operación de un SGSI, por ejemplo, sobre la gestión de riesgos de seguridad de la información ( ISO/IEC 27005 ).
BS 7799 fue un estándar publicado originalmente por BSI Group [6] en 1995. Fue escrito por el Departamento de Comercio e Industria (DTI) del gobierno del Reino Unido y constaba de varias partes.