Algunas diferencias entre la ISO 27001: 2005 y 27001:2013

*Por Freddy Valecillos

Fuente: Imagen siforense.blogspot.com
Antes de comenzar con las diferencias entre una y otra versión del estándar internacional 27001, es importante aclarar que el objeto de ambas es ayudar a una organización a administrar la seguridad de los activos informáticos, brindar orientación en la aplicación de un Sistema de Gestión de Seguridad de la Información para la protección de datos valiosos como: financieros (información bancaria, impuestos, negocios, entre otros), la propiedad intelectual (diseños, proyectos, planes), detalles de los empleados, clientes o la información confiada por terceros, como lo establece la “Guía de transición” publicada por bsigroup.com

Entre los beneficios de su aplicación o de que una empresa alcance su certificación, está ayudar a las pequeñas, medianas y grandes empresas en cualquier sector a mantener los activos de información segura. Generar confianza en el mercado y conducir hacia la gobernabilidad de las organizaciones.

En este sentido, se entiende por Sistema de Gestión de Seguridad de la Información al conjunto de elementos relacionados de enfoque sistemático de la gestión de información confidencial, cuyo objeto es que esa información siga siendo segura. Incluye personas, procesos y sistemas de Tecnologías de la Información, mediante la aplicación de un proceso de gestión de riesgos.

Entre las principales normas de la familia 27000, se encuentran: 
ISO/IEC 27000: 2016 Sistemas de gestión de seguridad de información, Definiciones y vocabulario.
ISO/IEC 27001: 2013 Sistemas de gestión de seguridad de información, Requisitos.
ISO/IEC 27002: 2013 Código de prácticas para los controles de seguridad de la información
ISO/IEC 27003: Tecnología de Información – Técnicas de seguridad – Guía de implementación del sistema de gestión de seguridad de la información;

Beneficios de la modificación de la nueva norma ISO/IEC 27001 para adaptarse a la nueva estructura de alto nivel de las normas de sistemas de gestión

La alineación de la norma ISO/IEC 27001 a la nueva estructura ayudará a las organizaciones que deseen implementar más de un sistema de gestión a la vez. La similitud de estructura entre las normas ahorrará dinero y tiempo, pues se pueden adoptar políticas y procedimientos integrados.

Por ejemplo, una organización puede querer integrar su sistema de seguridad de la información (ISO/IEC 27001) con otros sistemas de gestión, tales como la gestión de la continuidad del negocio (ISO/IEC 22301), la gestión de servicios (ISO/IEC 20000-1) o de gestión de calidad (ISO 9001).

¿Cuánto esfuerzo se necesita para pasar de la versión anterior a la nueva versión?
La actualización a la nueva edición de la norma ISO/IEC 27001 no debería resultar particularmente problemático. El período de transición ayuda, ya que significa el esfuerzo requerido puede ser parte de un programa de trabajo por etapas y se integran en actividades de mejora continua y auditorías de vigilancia planificadas.

¿Qué diferencias existen entre la antigua versión y la 27001:2013? 
La nueva versión está diseñada bajo la nueva estructura de alto nivel, lo que simplifica su integración al uso de sistemas combinados e integrados de las familias de normas ISO, en el siguiente cuadro se muestra la forma en que se encuentra la información en ambas ediciones de la norma, esto permite facilitar su transición.
ISO 27001:2005

ISO 27001:2013
0
Introducción
0
Introducción
1
Alcance
1
Alcance
2
Referencias normativas
2
Referencias normativas
3
Términos o definiciones
3
Términos o definiciones
4.1
Comprender la organización y su contexto
8.3
Acciones preventivas
4.2
Comprender las necesidades y expectativas de las partes interesadas
5.2.1 (c)
Identificar y conducir los requerimientos legales y regulatorios y las obligaciones contractuales de seguridad
4.2.1 a)
Defina el alcance y los límites
4.3
Determinar el alcance del sistema de gestión de seguridad de la información
4.2.3 f)
Aseguramiento de que el alcance sea adecuado
4.4
Sistema de gestión de seguridad de la información
4.1
Requerimientos generales
5.1
Liderazgo y compromiso
5.1
Compromiso de la dirección
5.2
Políticas
4.2.1 b)
Definir una política de SGSI
5.3
Roles organizacionales, responsabilidades y autoridades
5.1 c)
Establecer roles y responsabilidades para la seguridad de la información
6.1.1
Acciones para hacer frente a riesgos y oportunidades – general
8.3
Acciones preventivas
6.1.2
Evaluación de riesgos de seguridad de la información
4.2.1 c)
Definición del enfoque de la evaluación de riesgos
4.2.1 d)
Identificar los riesgos
4.2.1 e)
Analizar y evaluar los riesgos
6.1.3
Tratamiento de riesgos de seguridad de la información
4.2.1 f)
Identificar y evalúe opciones para el tratamiento de riesgos
4.2.1 g)
Seleccionar objetivos de control y controles para el tratamiento de riesgos
4.2.1 h)
Obtener aprobación de la dirección sobre los riesgos residuales propuestos
4.2.1 i)
Preparar un enunciado de aplicabilidad
4.2.2 a)
Formular un plan de tratamiento de riesgos
6.2
Objetivos de seguridad de la información y planeación de los mismos
5.1 b)
Asegurar los objetivos del SGSI y establecer los planes
7.1
Recursos
4.2.2 g)
Gestión de recursos para el SGSI
5.2.1
Provisión de recursos
7.2
Competencia
5.2.2
Capacitación, conocimiento y competencia
7.3
Conocimiento
4.2.2 e)
Implementar capacitación y programas de conocimiento
5.2.2
Capacitación, conocimiento y competencia
7.4
Comunicación
4.2.4
Comunicar las acciones y mejoras
5.1 d)
Comunicar a la organización
7.5
Información documentada
4.3
Requerimientos de documentación
8.1
Planeación operacional y control
4.2.2 f)
Gestionar operaciones del SGSI
8.2
Evaluación de riesgos de seguridad de la información
4.2.3 d)
Revisar evaluaciones de riesgos en intervalos planeados
8.3
Tratamiento de riesgos de seguridad de la información
4.2.2 b)
Implementar el plan de tratamiento de riesgos
4.2.2 c)
Implementar controles
9.1
Monitoreo, medición, análisis y evaluación
4.2.2 d)
Definir cómo medir la efectividad
4.2.3 b)
Tomar revisiones regulares de la efectividad del SGSI
4.2.3 c)
Medir la efectividad de los controles
9.2
Auditoría interna
4.2.3 e)
Conducir auditorías internas al SGSI
6
Auditorías internas del SGSI
9.3
Revisión de la gestión
4.2.3 f)
Tomar una revisión de la gestión del SGSI
7
Revisión de la gestión del SGSI
10.1
No conformidades y acciones correctivas
4.2.4
Mantener y mejorar el SGSI
8.2
Acciones correctivas
10.2
Mejora continua de la información
4.2.4
Mantener y mejorar el SGSI
8.1
Mejora continua

*Ing. de alimentos

Comentarios

  1. Arya Rishi27 de noviembre de 2020, 9:26

    This is really an awesome article. Thank you for sharing this.It is worth reading for everyone.

    ISO 27001 Peru

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

¿Por qué el mundo necesita la ISO 27001 para seguridad de la información?

Imagen
*Por Danny Navas Son muchas las empresas públicas o privadas que han sido víctimas de los mal llamados **hackers (el término correcto es crackers); estos cybercriminales se han apropiado de cuantiosas sumas de dinero sumergiendo a las organizaciones en una espiral descendente de pérdidas de dinero, confianza de los clientes, competitividad en el mercado, inversionistas y en casos extremos, conducen hasta la bancarrota. Fuente: Imagen de advisera.com El reporte técnico de la Reforma Regulatoria de la Empresa de Negocios ( Business Enterprise and Regulatory Reform , BERR ) del gobierno del Reino Unido señala que el 96% de empresas grandes (con más de 500 personas) habían sufrido de una incidencia de violación de la seguridad de la información durante el año con un coste promedio de 1 a 2 millones de euros. No es de extrañar entonces, que el cybercrimen represente el 42% de los riesgos más importantes a los que se enfrentan las empresas, muy por encima de los temas de ma
Leer más

La información es poder y todo poder conlleva una responsabilidad...

Imagen
La frase que titula este post en materia de seguridad de la información será nuestro eslogan, pues en resumidas cuentas la puesta en marcha de un Sistema de Gestión de Seguridad de la Información  pretende: hacerse "responsable" de los datos que un cliente, proveedor o parte interesada , está confiándole con la finalidad de recibir a cambio un producto o servicio, con condiciones de uso exclusivo solo para estos fines sin que esto represente comprometer su integridad o sus bienes o hacerlos vulnerables para terceros.  Por: *Zoraibeth Sosa Ahora bien ¿Qué tipo de información y qué medios son los que pretende proteger una certificación con ISO 27001? pues "todo aquel conjunto de datos  organizados en poder de una entidad que posean valor para la misma,  independientemente de la forma en que se guarde o transmita (escrita, en imágenes,  oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,  fax o e-mail, transmitida en conversacio
Leer más