Requisitos ISO 27001

1. Alcance

La norma ISO 27001 cubre varios aspectos de la gestión de la seguridad de la información, incluido el establecimiento, implementación, mantenimiento y mejora continua de un SGSI dentro del contexto de una organización. El estándar es aplicable a organizaciones de todo tipo, tamaño y naturaleza.

Los requisitos establecidos en la norma ISO 27001 están diseñados para garantizar que las organizaciones cuenten con las medidas adecuadas para proteger sus activos de información. Estos requisitos cubren una amplia gama de áreas.

2. Referencias normativas

La propia ISO 27001 se basa en un enfoque de gestión de riesgos y proporciona un marco para que las organizaciones establezcan, implementen, mantengan y mejoren continuamente un sistema de gestión de seguridad de la información (SGSI). Las referencias normativas en ISO 27001 incluyen varios otros estándares ISO/IEC que brindan orientación sobre diversos aspectos de la gestión de seguridad de la información. Éstas incluyen:

• ISO/IEC 27000: esta norma es una referencia normativa en ISO 27001 y sirve como descripción general y vocabulario para los sistemas de gestión de seguridad de la información. Define términos y conceptos clave utilizados en toda la familia de documentos ISO 27000 y describe el alcance y los objetivos de cada miembro de la familia.
• ISO/IEC 27002: también conocido como Código de prácticas para la gestión de la seguridad de la información, este estándar proporciona orientación sobre la selección e implementación de controles de seguridad. Ofrece un conjunto completo de mejores prácticas para que las organizaciones protejan sus activos de información y gestionen los riesgos de seguridad de forma eficaz.
• ISO/IEC 27005: esta norma se centra en la gestión de riesgos y proporciona orientación sobre el proceso de evaluación y tratamiento de riesgos. Ayuda a las organizaciones a identificar y evaluar los riesgos de seguridad de la información y a desarrollar planes de tratamiento de riesgos adecuados para mitigarlos.
• ISO/IEC 27006: esta norma proporciona orientación sobre el proceso de certificación de sistemas de gestión de seguridad de la información. Describe los requisitos para que los organismos de certificación y los auditores evalúen y certifiquen el cumplimiento de las organizaciones con la norma ISO 27001.
• ISO/IEC 27007: Estas directrices están diseñadas específicamente para auditar sistemas de gestión de seguridad de la información. Proporcionan orientación sobre el proceso de auditoría, incluida la planificación, la realización y la presentación de informes sobre las auditorías, para garantizar que el SGSI de una organización se implemente y mantenga de manera efectiva.
• ISO/IEC 27008: Estas directrices se centran en la gestión de la seguridad de la información. Proporcionan orientación sobre cómo establecer, implementar, mantener y mejorar continuamente el sistema de gestión de la seguridad de la información dentro de una organización.

3. Términos y definiciones

La sección de términos y definiciones tiene el propósito de proporcionar un entendimiento y un lenguaje común para todas las partes involucradas en la implementación del estándar.

4. Contexto de la Organización

4.1 – Comprender la organización y su contexto

El Requisito 27001 de ISO 4.1 tiene como objetivo garantizar que las organizaciones tengan una comprensión integral de su entorno interno y externo para gestionar eficazmente sus riesgos de seguridad de la información.

Esto implica identificar y evaluar los factores que pueden afectar la capacidad de la organización para lograr sus objetivos de seguridad de la información.

Al comprender su contexto interno y externo, las organizaciones pueden identificar y evaluar los riesgos asociados con su sistema de gestión de seguridad de la información.

Esto les permite desarrollar un sistema eficaz y personalizado que mitigue los riesgos identificados y garantice el cumplimiento de las leyes y regulaciones aplicables.

4.2 – Comprender las necesidades y expectativas de las partes interesadas

El Requisito 27001 de ISO 4.2 es que las organizaciones identifiquen y comprendan las necesidades y expectativas de sus partes interesadas. Esto incluye clientes, proveedores, empleados, accionistas y otras partes interesadas.

El propósito es garantizar que el sistema de gestión de seguridad de la información (SGSI) de la organización cumpla con los requisitos de estas partes.

Para cumplir con este requisito, las organizaciones deben primero identificar a sus partes interesadas y comprender sus necesidades y expectativas específicas.

Esto implica considerar requisitos legales y regulatorios, obligaciones contractuales y otras cuestiones externas e internas que son relevantes para el propósito de la organización y afectan su capacidad para lograr el resultado previsto de su SGSI.

4.3 – Determinación del Alcance del Sistema de Gestión de Seguridad de la Información

El Requisito 27001 de ISO 4.3 define los límites y el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) de la organización.

Esto implica identificar y documentar los activos de información, procesos, procedimientos, personas, sistemas y redes que se incluyen dentro del alcance del SGSI.

El alcance debe abarcar todos los activos de información de la organización, tanto físicos como digitales, así como los procesos y procedimientos utilizados para gestionarlos.

4.4 – Sistema de Gestión de Seguridad de la Información

El requisito 27001 de ISO 4.4 describe los elementos necesarios para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI).

El SGSI está diseñado para garantizar la seguridad de la información y los datos, así como proteger los derechos y libertades de las personas.

ISO 27001 proporciona un conjunto integral de requisitos para establecer y mantener un SGSI eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.

5. Liderazgo

5.1 – Liderazgo y Compromiso

El requisito 27001 de ISO 5.1 explica que la alta dirección de la organización debe demostrar liderazgo y compromiso con el sistema de gestión de seguridad de la información (SGSI). Esto implica varias responsabilidades clave.

La dirección debe monitorear y evaluar el SGSI para asegurar su efectividad. Esto implica realizar auditorías internas y tomar las acciones correctivas necesarias para abordar cualquier debilidad o no conformidad identificada.

5.2 – Política de Seguridad de la Información

El requisito 27001 de ISO 5.2 requiere que las organizaciones tengan una política de seguridad de la información aprobada por la alta dirección.

Esta política sirve como guía para gestionar la seguridad de la información de la organización y debe considerar varios factores como la estrategia comercial, las regulaciones, la legislación y los riesgos y amenazas a la seguridad de la información actuales y proyectados.

Debe cubrir áreas tales como transferencia de información, configuración segura y manejo de dispositivos terminales de usuario, seguridad de redes, gestión de incidentes de seguridad de la información, respaldo, criptografía y gestión de claves, clasificación y manejo de información, gestión de vulnerabilidades técnicas y desarrollo seguro.

5.3 – Roles, responsabilidades y autoridades organizacionales

El requisito 27001 de ISO 5.3 describe el requisito para que las organizaciones definan y asignen roles, responsabilidades y autoridades relacionadas con la seguridad de la información.

Esto es crucial para garantizar que todos los individuos y grupos dentro de la organización sean conscientes de sus funciones y responsabilidades específicas con respecto a la seguridad de la información.

El documento enfatiza la necesidad de segregar funciones, lo que significa que diferentes individuos o grupos deben ser responsables de diferentes aspectos de la seguridad de la información.

Esto ayuda a evitar que una sola persona tenga un control excesivo sobre la seguridad de la información de la organización. Además, el documento requiere que las organizaciones garanticen que el personal esté adecuadamente capacitado y posea las habilidades necesarias para cumplir con sus funciones y responsabilidades.

6. Planificación

6.1 – Acciones para abordar riesgos y oportunidades

El requisito 27001 de ISO 6.1 se centra en garantizar que las organizaciones identifiquen, evalúen, traten y monitoreen los riesgos y oportunidades de seguridad de la información.

Esto implica un enfoque sistemático para gestionar los riesgos y tomar las medidas adecuadas para mitigarlos.

Este requisito enfatiza la importancia de un enfoque proactivo e integral para gestionar los riesgos de seguridad de la información con el fin de proteger los datos personales y garantizar la integridad y disponibilidad de los sistemas de información.

6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos

El requisito 27001 de ISO 6.2 requiere que las organizaciones establezcan objetivos de seguridad de la información y desarrollen un plan para alcanzarlos.

Estos objetivos deben ser específicos, mensurables, alcanzables, relevantes y con plazos determinados (SMART), y deben estar alineados con los objetivos comerciales generales de la organización. El plan debe describir los pasos, los recursos y el cronograma necesarios para alcanzar las metas deseadas.

Es necesaria una revisión periódica de los objetivos y planes de seguridad de la información para garantizar su relevancia y eficacia. Cualquier cambio en la organización debe considerarse e incorporarse a los planes según sea necesario.

7. Apoyo

7.1 – Recursos

El requisito 27001 de ISO 7.1 garantiza que una organización tenga los recursos necesarios para mantener la seguridad de sus sistemas de información.

Esto incluye identificar y documentar el personal, el hardware, el software y otros recursos necesarios para la seguridad de la información.

La organización debe garantizar que estos recursos estén disponibles y accesibles cuando sea necesario.

Como se describió anteriormente en el Requisito 5.3, ISO 27001 en realidad no exige que el SGSI tenga que contar con recursos de tiempo completo, solo que las funciones, responsabilidades y autoridades estén claramente definidas y sean propiedad de ellos, asumiendo que se aplicará el nivel correcto de recursos como tal. requerido.

7.2 – Competencia

El Requisito 27001 de ISO/IEC 7.2 describe cómo la organización garantizará que tiene:

• Se determinó la competencia de las personas que realizan el trabajo en el SGSI que podría afectar su desempeño.
• Personas que se consideran competentes sobre la base de la educación, formación o experiencia pertinentes.
• Cuando fue necesario, se tomaron medidas para adquirir la competencia necesaria y se evaluó la eficacia de las acciones.
• Retuvo evidencia de lo anterior para propósitos de auditoría.

Al garantizar que el personal sea competente, las organizaciones pueden gestionar eficazmente su desempeño en materia de seguridad de la información y proteger los datos personales.

Leer más sobre 7.2

7.3 - Conciencia

El requisito 27001 de ISO 7.3 establece que las organizaciones deben garantizar que todo el personal sea consciente de la importancia de la seguridad de la información y sus funciones y responsabilidades para mantenerla.

Esto incluye brindar capacitación y educación sobre temas de seguridad de la información, garantizando que el personal comprenda las políticas y procedimientos de seguridad de la organización y las consecuencias de no seguirlos.

ISO 27001 busca confirmación de que las personas que realizan el trabajo son conscientes de:

• La política de seguridad de la información.
• Su contribución a la eficacia del SGSI incluye los beneficios de su rendimiento mejorado.
• ¿Qué sucede cuando el sistema de gestión de seguridad de la información no se ajusta a sus requisitos?

Al garantizar que el personal sea competente, las organizaciones pueden gestionar eficazmente su desempeño en materia de seguridad de la información y proteger los datos personales.

Leer más sobre 7.3

7.4 – Comunicación

El requisito 27001 de ISO 7.4 se centra en la necesidad de que las organizaciones establezcan prácticas de comunicación efectivas para garantizar que se cumplan los objetivos de seguridad de la información. Esto incluye la comunicación con las partes interesadas relevantes, el Comisionado en caso de una violación de datos personales y entre todas las partes involucradas.

El requisito 27001 de ISO 7.4 busca lo siguiente:

• Qué comunicar sobre el SGSI.
• Cuando eso se comunicará.
• Quién será parte de esa comunicación.
• ¿Quién hace la comunicación?
• Cómo sucede todo eso, es decir, qué sistemas y procesos se utilizarán para demostrar que sucede y es efectivo.

7.5 – Información documentada

El Requisito 27001 de ISO 7.5 para ISO 27001 le pide que describa su sistema de gestión de seguridad de la información y luego demuestre cómo se logran los resultados previstos para la organización.

Es increíblemente importante que todo lo relacionado con el SGSI esté documentado y bien mantenido, y sea fácil de encontrar, si la organización quiere lograr una certificación ISO 27001 independiente de un organismo como UKAS.

Los auditores certificados ISO confían mucho en una buena gestión y mantenimiento de un sistema de gestión de seguridad de la información bien estructurado.

8. Operación

8.1 – Planificación y control operativo

El requisito 27001 de ISO 8.1 se centra en garantizar la seguridad de la información de una organización mediante la planificación y el control de sus operaciones.

Esto implica identificar y evaluar los riesgos asociados con las operaciones de la organización e implementar controles de seguridad adecuados para mitigar esos riesgos.

La organización también debe desarrollar e implementar políticas y procedimientos para proteger su información del acceso, uso, divulgación, modificación o destrucción no autorizados.

Es muy fácil demostrar evidencia en contra de este requisito si la organización ya ha "mostrado su funcionamiento". Al desarrollar el sistema de gestión de seguridad de la información para cumplir con los requisitos 6.1, 6.2 y, en particular, 7.5, donde todo el SGSI está bien estructurado y documentado, esto también logra el 8.1 al mismo tiempo.

8.2 – Evaluación de riesgos de seguridad de la información

El requisito 27001 de ISO 8.2 requiere que las organizaciones realicen una Evaluación de riesgos de seguridad de la información (ISRA) a intervalos planificados o cuando se produzcan cambios significativos.

El propósito de este requisito es garantizar que las organizaciones sean conscientes de los riesgos potenciales para su sistema de gestión de seguridad de la información y puedan tomar las medidas necesarias para mitigarlos.

El proceso implica identificar, evaluar y gestionar los riesgos para los activos de información de la organización. Esto incluye analizar los activos de información de la organización, identificar amenazas y vulnerabilidades asociadas con esos activos y evaluar el impacto potencial de una violación de seguridad.

8.3 – Tratamiento de riesgos de seguridad de la información

El requisito 27001 de ISO 8.3 describe el requisito para que las organizaciones identifiquen, evalúen y traten los riesgos de seguridad de la información.

Esto implica identificar y evaluar los riesgos asociados con el procesamiento de datos personales e implementar medidas de seguridad adecuadas para mitigar esos riesgos. Estas medidas pueden incluir control de acceso, cifrado y copia de seguridad de datos.

Las organizaciones deben garantizar que todos los procesos, productos o servicios proporcionados externamente y relevantes para el sistema de gestión de seguridad de la información estén controlados. También se debe conservar información documentada de los resultados del tratamiento de riesgos de seguridad de la información.

9. Evaluación del desempeño

9.1 – Monitoreo, Medición, Análisis y Evaluación

El requisito 27001 de ISO 9.1 requiere que las organizaciones evalúen el rendimiento del SGSI y observen la eficacia del sistema de gestión de seguridad de la información.

Si la organización busca la certificación ISO 27001, el auditor independiente que trabaja en un organismo de certificación asociado a UKAS (o un organismo acreditado internacional similar para la certificación ISO) observará de cerca las siguientes áreas:

• Lo que ha decidido monitorear y medir, no sólo los objetivos sino también los procesos y controles.
• Cómo asegurará resultados válidos en la medición, seguimiento, análisis y evaluación.
• Cuándo se lleva a cabo esa medición, seguimiento, evaluación y análisis y quién lo hace.
• Cómo se utilizan los resultados.

Como todo lo demás con las normas ISO/IEC, incluida ISO 27001, la información documentada es muy importante, por lo que describirla y luego demostrar que está sucediendo es la clave del éxito.

9.2 – Auditoría Interna

El requisito 9.2 de la norma ISO 27001 dice que una organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de seguridad de la información:

• Cumple con los requisitos propios de la organización para su sistema de gestión de seguridad de la información; y cumple con los requisitos de la norma internacional ISO 27001.
• Si el SGSI se implementa y mantiene efectivamente.

Este requisito garantiza que las organizaciones evalúen y mejoren periódicamente su sistema de gestión de seguridad de la información para proteger sus activos de información y cumplir sus objetivos de seguridad.

9.3 – Revisión de la gestión

El requisito 27001 de ISO 9.3 requiere que las organizaciones realicen revisiones periódicas de la gestión para garantizar la idoneidad, adecuación y eficacia continua de su sistema de gestión de seguridad de la información.

Estas revisiones deben realizarse a intervalos planificados, al menos una vez al año, y deben involucrar a la alta dirección o a un representante designado.

El propósito de la revisión de la dirección es evaluar las políticas, procedimientos y controles de seguridad de la información de la organización, así como sus procesos de evaluación y gestión de riesgos.

También implica evaluar el cumplimiento de la organización con las leyes y regulaciones aplicables.

Durante la revisión, la organización debe evaluar la eficacia de su sistema de gestión de seguridad de la información e identificar los cambios necesarios para garantizar el cumplimiento de la norma ISO 27001. La revisión también debe considerar el desempeño de la organización en el cumplimiento de sus objetivos de seguridad de la información.

10 Mejora

10.1 – No conformidad y acción correctiva

El requisito 27001 de ISO 10.1 establece que las organizaciones deben establecer un proceso para identificar, documentar y abordar cualquier desviación del estándar ISO 27001, que se conoce como no conformidades.

Las no conformidades pueden incluir incumplimiento de los requisitos de la norma, deficiencias en el sistema de gestión de seguridad de la información o cualquier otro problema que pueda conducir a una violación de seguridad.

Cuando se identifica una no conformidad, la organización debe tomar medidas correctivas para abordarla. La acción correctiva debe ser apropiada a la gravedad de la no conformidad y diseñada para evitar que ocurran problemas similares en el futuro.

La eficacia de la acción correctiva debe revisarse periódicamente para garantizar que la no conformidad no vuelva a ocurrir.

10.2 – Mejora continua

El requisito 27001 de ISO 10.2 establece que las organizaciones deben mejorar continuamente su sistema de gestión de seguridad de la información (SGSI).

Esto significa que las organizaciones deben revisar y actualizar periódicamente su SGSI para garantizar su eficacia y alineación con los objetivos de la organización, los requisitos legales y reglamentarios y la norma ISO 27001.

El proceso de mejora continua debe ser monitoreado y revisado para asegurar su efectividad, y se deben realizar todos los cambios necesarios para mejorar la idoneidad, adecuación y efectividad del SGSI.