ISO 2701

DEFINICION

SO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

HISTORIA

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

- BS 5750. Publicada en 1979. Origen de ISO 9001

- BS 7750. Publicada en 1992. Origen de ISO 14001

- BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

ISO 27001

Introducción

El estándar para la seguridad de la información ISO/IEC-27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado en 2005 por la International Organization for Standardization y por la International Electrotechnical Commission, especificando los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).

ORIGEN

La ISO 27001 se complementa con las mejores prácticas ISO 27002.

Pero la ISO 27001, tal y como la conocemos actualmente ha sido fruto de una evolución en las últimas dos décadas.

La historia de la ISO 27001 se remonta a 1901 cuando, la entidad normalizadora británica BSI (British Standards Institution) con carácter internacional publica normas con el prefijo “BS”, normas que son origen de las actuales ISO 9001, ISO 14001, OHSAS 18001...

En el caso de la actual ISO 27001, su origen fue la BS 7799-1, publicada en 1995 de. Se trataba de una serie de mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Se trataba de recomendaciones que no daban opción a ningún tipo de certificación ni establecía la forma de conseguirla.

Esta norma tuvo una segunda parte, BS 7799-2, en 1998. Es este caso establecía los requisitos a cumplir para tener un Sistema de Gestión de Seguridad de la Información certificable.

Ambas partes fueron revisadas en el año 1999 y en el año 2000 la Organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799. En este momento la norma no experimentó grandes cambios, pero en el año 2001 fue revisada de acuerdo a la línea de las normas ISO.

En 2002 se publicó una nueva versión de la BS 7799 que permitió la acreditación de empresas por una entidad certificadora en Reino Unido y en otros países.

Fue en el año 2005 cuando aparece ya el estándar ISO 27001 y la ISO 17799 se modifica danto lugar a la ISO 27001:2005 publicación formal de la revisión.

En 2007 la ISO 17799 se renombra y pasa a ser la ISO 27002:2005

En 2007 se publica la nueva versión ISO 27001:2007 y dos años más tarde se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

Esta norma es conocida en Chile como NCh-ISO27001, en España como UNE-ISO/IEC 27001:2007, en Colombia como NTC-ISO-IEC 27001, en Venezuela como Fondonorma ISO/IEC 27001, en Argentina como IRAM-ISO IEC 27001, en México como NMX-I-041/02-NYCE y en Uruguay como UNIT-ISO/IEC 27001.

A finales de este año 2013 se publicará la nueva versión de la ISO 27001 que traerá cambios en la estructura, en la evaluación y tratamiento de los riesgos, entre otros que comentaremos en próximos artículos.

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

DEFINICION

La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información.

La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha

...