ISO / CEI 27000: 2018 proporciona una visión general de los sistemas de gestión de seguridad de la información (SGSI) y los términos y definiciones que se utilizan comúnmente en la familia de sistemas de gestión de seguridad de la información ISO / CEI 27001.

Diseñada para todo tipo de organizaciones y aplicaciones, desde multinacionales a pequeñas y medianas empresas, la nueva versión lanzada en febrero 2018 es igualmente valiosa para agencias gubernamentales u organizaciones sin fines de lucro.
La familia 27000 tiene más de una docena de estándares. El ISO / IEC 27000 recientemente publicado proporciona una comprensión de cómo se cumplen los estándares: su alcance, función, función y relación.
La comunidad ISO / IEC 27001 lo encontrará útil porque reúne toda la terminología básica utilizada por otras normas en la familia ISO / IEC 27000.

En el entorno empresarial actual, donde la tecnología y la comunicación se desarrollan a un ritmo vertiginoso, la protección de la información se ha vuelto aún más importante. La información es de gran importancia para que una organización continúe sus actividades. En la protección de la información, la identificación de riesgos de seguridad y amenazas para los activos de información y el control de los puntos abiertos en el sistema requieren esfuerzos serios. El establecimiento de la seguridad de la información y la garantía de la continuidad de los controles a realizar dependen del establecimiento de los principios de seguridad relevantes y de la correcta determinación de los procesos de gestión.

En el mundo de los negocios de hoy. seguridad de la información se considera un riesgo grave, y la identificación y la realización de controles de seguridad de la información consistentes, así como la toma de riesgos a niveles aceptables, depende del establecimiento de ciertos estándares dentro de la organización.

ISO / IEC 27001 es el único estándar internacional auditable que define los requisitos del Sistema de Gestión de Seguridad de la Información (SGSI). Está diseñado para garantizar que se seleccionen controles de seguridad adecuados y proporcionados.

Organización Internacional de Normalización El Sistema de Gestión de Seguridad de la Información ISO / IEC 27001 es un conjunto de estándares que ayudan a proteger y administrar activos de información valiosos. Es el único sistema internacional que define los estándares requeridos para la seguridad de la información. Este sistema está diseñado para garantizar que se seleccionen controles de seguridad adecuados y proporcionados.

En la Organización de Normas Internacionales (ISO), los trabajos de preparación de normas se realizan generalmente por comités técnicos. Las normas ISO 27000 también han sido preparadas por el Comité Técnico Conjunto establecido por la Organización de Normas Internacionales y la Comisión Electrotécnica Internacional.

Comisión Internacional Electrotécnica (IEC - Comisión Electrotécnica Internacional) se estableció en 1906 y establece estándares internacionales para electrónica y tecnologías similares. El Instituto de Normas de Turquía (TSE) es miembro de esta comisión. El objetivo principal de IEC es mejorar la calidad de los productos y servicios a nivel mundial, contribuir a la salud y la seguridad de las personas y apoyar la protección del medio ambiente. ISO trabaja en asuntos que están fuera del alcance de la Comisión Electrotécnica Internacional.

Sistema de gestión de seguridad de la información ISO 27001 Las compañías establecidas, identifican la infraestructura de la información, analizan los posibles ataques y peligros a estos activos y deciden qué hacer en caso de que ocurran estos peligros. Este es el sistema más importante entre los sistemas de gestión integrados, especialmente para las organizaciones que intentan obtener una identidad corporativa.

El Sistema de Gestión de Seguridad de la Información ISO 27001 brindará a la organización grandes ventajas en términos de identificar los riesgos involucrados en la protección de la información e identificar medidas para eliminar o minimizar esos riesgos.

No hay restricción sectorial en términos de implementación de este sistema. Las organizaciones en cada sector pueden establecer un Sistema de Gestión de Seguridad de la Información si sienten la necesidad de proteger la información. Sin embargo, especialmente en los bancos e instituciones financieras, instituciones de salud, agencias gubernamentales, protección de la información del sector de tecnología de la información es mucho más importante.

Las normas ISO 27000 están compuestas de muchas normas. Algunos de estos estándares son:

  • Sistema de gestión de seguridad de la información ISO 27001 estándar: Este es el estándar básico del Sistema de Gestión de Seguridad de la Información.
  • Código de práctica ISO 27002 para el estándar del sistema de gestión de seguridad de la información
  • Personalización del sistema de gestión de seguridad ISO 27003, Guía de implementación
  • Balanzas ISO 27004, Informes Estándar
  • ISO 27005 Sistema de gestión de seguridad de la información Estándar de gestión de riesgos
  • Norma ISO 27006 para requisitos de auditoría y certificación de seguridad de la información

En la actualidad, Information Security Management es un sistema que debe administrarse en su totalidad, incluidos todos los recursos humanos de la organización, especialmente la alta gerencia, los sistemas de información y los procesos de negocios.

Dijimos que el Estándar del Sistema de Gestión de Seguridad de la Información ISO 27001 es el estándar principal del sistema. Los trabajos de instalación y certificación del Sistema de Gestión de Seguridad de la Información en organizaciones se llevan a cabo a través de este estándar.

Los principales objetivos de esta norma son:

  • Identificar posibles vulnerabilidades de seguridad de la información de la organización, identificar amenazas a los activos de información y auditarlas sistemáticamente.
  • Para determinar los controles para garantizar la seguridad de los activos de información en riesgo, para garantizar que estos controles se lleven a cabo y para mantener los posibles riesgos en niveles aceptables.
  • Para garantizar la continuidad de los controles de seguridad de la información a realizar de esta manera y para determinar e implementar los procesos de gestión para este fin.

El Estándar de sistema de gestión de seguridad de la información ISO 27001 fue publicado por la Organización Internacional de Normalización en 2005. Nombre completo ISO / IEC 27001: 2005 Tecnología de la información Técnicas de seguridad Requisitos de los sistemas de gestión de la seguridad de la información. Es comúnmente conocido como el estándar de certificación ISO 27001.

Los estándares ISO 27001 cubren la estructura corporativa, políticas, actividades de planificación, responsabilidades, actividades, instrucciones de implementación, procesos de negocios y recursos de una organización que estableció este sistema.