La ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es atractiva si la protección de la información es muy importante, como en finanzas, sanidad sector público y tecnología de la información. También es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.
La ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un SGSI y una característica interesante, es que en el Anexo C de la norma establece las correspondencias de SGSI con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004, con el fin de que una organización pueda llegar a certificarse en varias normas, con la finalidad de una gestión de calidad.
Además observamos la serie 27000 dentro de los estándares ISO/IEC:
· ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000.
· UNE-ISO/IEC 27001:2007: SGSI, Requisitos.
· ISO 27002: Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
· ISO 27003: En fase de desarrollo, contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases.
· ISO 27004: En fase de desarrollo, Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
· ISO 27005: Una guía para la gestión del riesgo de la seguridad de la información.
· ISO 27006: Especifica los requisitos para acreditación de entidades de auditoría y certificación de SGSI.
No hay comentarios:
Publicar un comentario