Novedades sobre la norma ISO/IEC 27001:2013

Mucho tiempo ha pasado desde la creación de los estándares BS 7779-2 y BS 7779-1 hasta la elaboración de la norma ISO/IEC 27001:2005. Durante el periodo transcurrido hubo grandes avances tecnológicos, junto a cambios muy significativos en la seguridad, como la aparición de nuevas amenazas y vulnerabilidades.

Hace algunos años se inició el proyecto de actualización de la norma ISO/IEC 27001:2005, que ha contado con la participación de especialistas de decenas de países, llegándose así a la versión actual ISO/IEC 27001:2013. Esta es la única norma internacional de Sistemas de Gestión de Seguridad de la Información (SGSI) auditable, certificable y que define los requisitos para un SGSI.

Evol

La norma o estándar fue concebida para garantizar la selección de controles de seguridad adecuados y proporcionales a cada organización. La nueva versión incluye novedades, tanto a nivel del sistema de gestión como a nivel de los controles de seguridad de la información. Brevemente, mencionaremos que la estructura de la norma se basa en el Anexo SL y esta estructura es común a la de otras normas, como por ejemplo: ISO 22301:2012 de gestión de la continuidad del negocio.

Sobre el Anexo SL
Desarrollado en el año 2012, este propone un marco genérico para cualquier sistema de gestión. Se tiene la intención de que a partir de la aparición del anexo toda norma ISO de sistema de gestión siga la estructura que se indicada en el mismo de forma tal que todas las normas de sistemas de gestión converjan en una estructura común y con el mismo contenido a excepción de los requisitos específicos de cada una. Se espera que esta estrategia facilite la interpretación de las mismas y la implantación de manera conjunta.

 

Gracias a la aceptación que ha tenido dentro de las organizaciones, la norma ha evolucionado hasta llegar a la versión actual. La versión 2013 es una evolución, y no una revolución o nuevo paradigma de Seguridad de la Información.

 EvolNum

 

Para qué y para quién
La norma ISO/IEC 27001 es adecuada para cualquier organización, independientemente de su tamaño, y de cualquier sector: público o privado. La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo, en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran de una adecuada protección.
Para leer más sobre las diferencias entre las versiones 2005 y 2013 de la norma puede descargar un documento en formato PDF en el siguiente enlace:

https://oscargiudice.files.wordpress.com/2014/08/iso_27001-2013_principalescambios_ccat.pdf

 

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s