ISO/IEC 27001

Considerables cambios en los controles establecidos

en el Anexo A, incrementando el nmero de dominios a 14 y disminuyendo el nmero de controles a
114.

ISO/IEC 27001 es un estndar para la seguridad de la informacin (Information technology - Security techniques Information security management systems - Requirements)
aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical
Commission.

Inclusin de un nuevo dominio sobre Relaciones

con el Proveedor por las crecientes relaciones entre
empresa y proveedor en la nube.

Especica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestin de la
seguridad de la informacin (SGSI) segn el conocido como Ciclo de Deming: PDCA - acrnimo de Plan, Do,
Check, Act (Planicar, Hacer, Vericar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC
27002, anteriormente conocida como ISO/IEC 17799,
con orgenes en la norma BS 7799-2:2002, desarrollada
por la entidad de normalizacin britnica, la British Standards Institution (BSI).

Se parte del anlisis de riesgos para determinar los

controles necesarios y compararlos con el Anexo A,
en lugar de identicar primero los activos, las amenazas y sus vulnerabilidades.

3 Benecios que aporta este a los

objetivos de la organizacin

Evolucin

Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial.

Espaa

En el ao 2004 se public la UNE 71502 titulada Especi Demuestra independientemente que se respetan las
caciones para los Sistemas de Gestin de la Seguridad de
leyes y normativas que sean de aplicacin.
la Informacin (SGSI) y que fue elaborada por el comit
tcnico AEN/CTN 71. Es una adaptacin nacional de la
Proporciona una ventaja competitiva al cumplir los renorma britnica British Standard BS 7799-2:2002.
quisitos contractuales y demostrar a los clientes que la
Con la publicacin de UNE-ISO/IEC 27001 (traduccin seguridad de su informacin es primordial.
al espaol del original ingls) dej de estar vigente la
UNE 71502 y las empresas nacionales certicadas en esta
Verica independientemente que los riesgos de
ltima estn pasando progresivamente sus certicaciones
la organizacin estn correctamente identicados,
a UNE-ISO/IEC 27001.
evaluados y gestionados al tiempo que formaliza
unos procesos, procedimientos y documentacin de
proteccin de la informacin.

ISO 27001:2013

Existen varios cambios con respecto a la versin 2005 en

esta versin 2013. Entre ellos destacan:

Demuestra el compromiso de la cpula directiva de

su organizacin con la seguridad de la informacin.

Desaparece la seccin enfoque a procesos dando

mayor exibilidad para la eleccin de metodologas
de trabajo para el anlisis de riesgos y mejoras.

El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora.

Cambia su estructura conforme al anexo SL comn Nota: las organizaciones que simplemente cumplen la
norma ISO/IEC 27001 o las recomendaciones de la noral resto de estndares de la ISO.
ma del cdigo profesional, ISO/IEC 27002 no logran es Pasa de 102 requisitos a 130.
tas ventaja
1

Implantacin

SERIE 27000

varias normas y con base en un sistema de gestin comn.

La implantacin de ISO/IEC 27001 en una organizacin

es un proyecto que suele tener una duracin entre 6 y 12 6 Serie 27000
meses, dependiendo del grado de madurez en seguridad
de la informacin y el alcance, entendiendo por alcance el La seguridad de la informacin tiene asignada la serie
mbito de la organizacin que va a estar sometido al Sis- 27000 dentro de los estndares ISO/IEC:
tema de Gestin de la Seguridad de la Informacin elegido. En general, es recomendable la ayuda de consultores
ISO 27000: Publicada en mayo de 2009. Contiene
externos.
la descripcin general y vocabulario a ser empleado
Aquellas organizaciones que hayan adecuado previamenen toda la serie 27000. Se puede utilizar para tener
te de forma rigurosa sus sistemas de informacin y sus
un entendimiento ms claro de la serie y la relacin
procesos de trabajo a las exigencias de las normativas leentre los diferentes documentos que la conforman.
gales de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el ms im UNE-ISO/IEC 27001:2007 Sistemas de Gestin
portante el Real Decreto 1720/2007, de 21 de diciembre
de la Seguridad de la Informacin (SGSI). Requiside desarrollo de la Ley Orgnica de Proteccin de Datos. Fecha de la de la versin espaola 29 noviemtos) o que hayan realizado un acercamiento progresivo a
bre de 2007. Es la norma principal de requisitos de
la seguridad de la informacin mediante la aplicacin de
un Sistema de Gestin de Seguridad de la Informalas buenas prcticas de ISO/IEC 27002, partirn de una
cin. Los SGSIs debern ser certicados por audiposicin ms ventajosa a la hora de implantar ISO/IEC
tores externos a las organizaciones. En su Anexo A,
27001.
contempla una lista con los objetivos de control y
El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin
que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados
en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas
tecnologas, proteccin de datos y sistemas de gestin de
seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).

Certicacin

La certicacin de un SGSI es un proceso mediante el

cual una entidad de certicacin externa, independiente y
acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y
su ecacia y, en caso positivo, emite el correspondiente
certicado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certicadas segn el estndar
britnico BS 7799-2.
Desde nales de 2005, las organizaciones ya pueden obtener la certicacin ISO/IEC 27001 en su primera certicacin con xito o mediante su recerticacin trienal,
puesto que la certicacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias
del Sistema de Gestin de la Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio
Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certicar una organizacin en

controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).

ISO/IEC 27002: (anteriormente denominada ISO
17799). Gua de buenas prcticas que describe los
objetivos de control y controles recomendables en
cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles.
ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA y de los requisitos de sus diferentes
fases. Tiene su origen en el anexo B de la norma BS
7799-2 y en la serie de documentos publicados por
BSI a lo largo de los aos con recomendaciones y
guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especica las mtricas y las tcnicas de medida aplicables para determinar la eciencia y ecacia de la
implantacin de un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en
una gua para la gestin del riesgo de la seguridad
de la informacin y sirve, por tanto, de apoyo a la
ISO 27001 y a la implantacin de un SGSI. Incluye
partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especica los requisitos para acreditacin de entidades de
auditora y certicacin de sistemas de gestin de
seguridad de la informacin.

8.2

ISM3

Referencias

8.2 ISM3

Information Security Management Maturity Model

ISO/IEC 27001:2005 Information technology
(ISM3) (conocida como ISM-cubed o ISM3) est consSecurity techniques Information security manatruido en estndares como ITIL, ISO 20000, ISO 9001,
gement systems - Requirements
CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos.
ISO/IEC 27005:2008 Information technology
Security techniques Information security risk ISM3 puede ser usado como plantilla para un ISO 9001
compliant. Mientras que la ISO/IEC 27001 est basada en
management
controles. ISM3 est basada en proceso e incluye mtricas
ISO/IEC 27006:2007 Information technology de proceso.
Security techniques Requirements for bodies
providing audit and certication of information se8.3 COBIT
curity management systems
ISO/IEC 27002:2005 Information technology En el caso de COBIT, los controles son an ms amplios
Security techniques Code of practice for in- que en la ISO-IEC 27001. La versin ms actual es la
formation security management (anterior ISO/IEC COBIT 5.
17799:2005)
ISO 9001:2000, Quality management systems
Requirements
ISO/IEC 13335-1:2004, Information technology
Security techniques Management of information
and communications technology security Part 1:
Concepts and models for information and communications technology security management

9 Vase tambin
Ley Orgnica de Proteccin de Datos de Carcter
Personal de Espaa
Privacidad
SGSI

Seguridad de la informacin
ISO/IEC TR 13335-3:1998, Information techno Seguridad informtica
logy Guidelines for the management of IT Security Part 3: Techniques for the management of
IT security
ll
ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards
ISO 14001:2004, Environmental management systems Requirements with guidance for use
ISO/IEC TR 18044:2004, Information technology
Security techniques Information security incident management
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing

8
8.1

Otros SGSI
SOGP

Otro SGSI que compite en el mercado es el llamado Information Security Forums Standard of Good Practice
(SOGP). Este SGSI es ms una best practice (buenas
prcticas), basado en las experiencias del ISF.

10 Enlaces externos
British Standards Institution, BSI
www.pmg-ssi.com Blog dedicado en exclusiva a la
norma ISO 27001 y el Programa de Mejoramiento
de la Gestin
ISO JTC 1/SC 27: Pgina del subcomit ISO/IEC a
cargo de normas de seguridad informtica
ISO 27001.es: Portal en espaol con informacin sobre la serie ISO 27000.

11

11
11.1

TEXT AND IMAGE SOURCES, CONTRIBUTORS, AND LICENSES

Text and image sources, contributors, and licenses

Text

ISO/IEC 27001 Fuente: http://es.wikipedia.org/wiki/ISO/IEC%2027001?oldid=78328720 Colaboradores: JorgeGG, Enric Naval, Rizox,

Corund, Crisborghe, KnightRider, Santiperez, Eskimbot, Jnerin, Alexav8, Antur, Iso27000, Ggenellina, Rcidte, Thijs!bot, Romerogt, Arcibel, Poc-oban, Fixertool, VolkovBot, Technopat, AlleborgoBot, BOTarate, Tirithel, JaviMad, HUB, Leonpolanco, Black Dhalia, Alecs.bot,
Paporrubio, UA31, Sgsisa, Ptbotgourou, Arauzo, Jkbw, Patricia.garcia, FrescoBot, KvedBOT, TiriBOT, PatruBOT, KamikazeBot, Angelito7, Nachosan, EmausBot, ZroBot, Grillitus, ChuispastonBot, Kasirbot, KLBot2, Sirroco, Vibolae, Pablo Gomez wolf, Antonio Unibaso,
Aleixcaballeria, Helmy oved, Cyrax, Audeasdi, Calidad2014 y Annimos: 72

11.2

Images

Archivo:Commons-emblem-question_book_orange.svg
Fuente:
http://upload.wikimedia.org/wikipedia/commons/1/1f/
Commons-emblem-question_book_orange.svg Licencia: CC BY-SA 3.0 Colaboradores: <a href='//commons.wikimedia.org/
wiki/File:Commons-emblem-issue.svg'
class='image'><img
alt='Commons-emblem-issue.svg'
src='//upload.wikimedia.org/
wikipedia/commons/thumb/b/bc/Commons-emblem-issue.svg/25px-Commons-emblem-issue.svg.png'
width='25'
height='25'
srcset='//upload.wikimedia.org/wikipedia/commons/thumb/b/bc/Commons-emblem-issue.svg/38px-Commons-emblem-issue.svg.png
1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/b/bc/Commons-emblem-issue.svg/50px-Commons-emblem-issue.svg.png 2x'
data-le-width='48' data-le-height='48' /></a> + <a href='//commons.wikimedia.org/wiki/File:Question_book.svg' class='image'><img
alt='Question book.svg' src='//upload.wikimedia.org/wikipedia/commons/thumb/9/97/Question_book.svg/25px-Question_book.svg.png'
width='25' height='20' srcset='//upload.wikimedia.org/wikipedia/commons/thumb/9/97/Question_book.svg/38px-Question_book.svg.
png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/9/97/Question_book.svg/50px-Question_book.svg.png 2x' data-lewidth='252' data-le-height='199' /></a> Artista original: GNOME icon artists, Jorge 2701

11.3

Content license

Creative Commons Attribution-Share Alike 3.0