ISO 27009, Directrices de implementación específicas de la industria

¿Qué es ISO/IEC 27009:2020?

Reserve una demostración

cerrar,arriba,en,manos,de,un,negro,africano,americano,hombre

¿Cómo funciona ISO 27009 junto con ISO 27001?

La norma ISO 27009:2020 es una guía para quienes desarrollarían normas basadas en ISO 27001 o relacionadas con ella.

Referencias normativas

Parte o todo el texto de los siguientes documentos se menciona en el texto de una manera que los convierte en un requisito de este documento.

La edición citada es la única que se aplica a las referencias fechadas. La edición más reciente a la que se hace referencia en este documento se aplica a las referencias de este año.

  • ISO / IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Descripción general y vocabulario
  • ISO / IEC 27001, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos
  • ISO / IEC 27002, Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información
Saltar al tema
¿Quiere una ventaja del 77 % en la certificación ISO 27001?
Reserva tu demostración

Alcance y propósito de la norma ISO 27009

Este documento especifica los requisitos para producir normas sectoriales específicas que complementen o modifiquen ISO/IEC 27002 para respaldar un sector específico (área de aplicación, mercado o dominio).

ISO/IEC 27009 también especifica requisitos para la creación de estándares específicos del sector que amplían el marco ISO/IEC 27001.

En resumen, ISO/IEC 27009 es un documento interno para el comité que desarrolla variantes o directrices de implementación específicas del sector/industria para los estándares 27K de la Organización Internacional de Normalización.

ISO 27001 e ISO 27009

ISO/IEC 27009 describe cómo:

  • Agregar requisitos además de los de ISO/IEC 27001.
  • Refinar o interpretar cualquiera de los Requisitos ISO/IEC 27001.
  • Incluir controles adicionales a los de ISO/IEC 27001:2013, anexo A e ISO/IEC 27002.
  • modificar cualquiera de los controles de ISO/IEC 27001:2013, Anexo A e ISO/IEC 27002.
  • Agregar orientación o modificar la orientación de ISO/IEC 27002.

Puede descubrir qué implica el marco ISO/IEC 27001 aquí y qué es exactamente ISO/IEC 27002.

ISO 27009 Segunda Edición

La iteración actual es ISO/IEC 27009:2020, que reemplaza la ISO/IEC 27009:2016 retirada que revisó la ISO.

La edición actual reemplaza a la primera edición ya que fue revisada técnicamente.

No hay organización, por grande o pequeña que sea, o cualquier sector específico en el que trabaje, que no sea vulnerable a los ciberataques.

La información es valiosa tanto para su organización como para partes interesadas, que incluyen a sus clientes, proveedores, autoridades gubernamentales y regulatorias.

Recuerde que es propietario y/o tiene un gran valor para la información que posee.

Los datos que posee deben ser mantenerse fuera del alcance de organizaciones gubernamentales, competidores y terceros.

Implementación de controles de seguridad de la información. y asegurar la información es una tarea compleja. El aprendizaje y las nuevas formas de hacer las cosas en InfoSec no tienen fin.

ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.

Peter Risdón
director de seguridad de la información, viital

Reserva tu demostración

Estado de la norma

  • Este estándar apareció por primera vez en 2016 y fue la primera versión.
  • Luego, el estándar ISO/IEC 27009 se amplió y se publicó en 2020, la segunda versión.

Cláusulas de la Norma

La segunda edición actualiza y reemplaza a la primera edición (que ha sido revisada técnicamente).

Las principales diferencias entre la edición anterior y ésta son las siguientes:

  • Cláusula 5 proporciona requisitos y orientación sobre cómo definir requisitos adicionales o refinados, perfeccionar o interpretar los requisitos de la norma ISO/IEC 27001.
  • Cláusula 6 proporciona requisitos y orientación sobre cómo proporcionar objetivos de control, controles, orientación de implementación u otra información que sea adicional o modifique el contenido de la norma ISO/IEC 27002.
  • anexo A contiene una plantilla que se utilizará para estándares industriales específicos relacionados con los estándares ISO anteriores.
  • anexo B es una plantilla utilizada para desarrollar estándares específicos del sector en relación con ISO/IEC 27002.
  • anexo C es la explicación de las ventajas y desventajas de los métodos de numeración utilizados en el Anexo B.

Nuestro sistema de gestión de seguridad de la información preconfigurado le ayudará a lograr el cumplimiento de la norma ISO 27001

Nuestro SGSI reducirá los impactos potenciales de estos riesgos de seguridad de la información.

Debido a que es el estándar de mejores prácticas reconocido internacionalmente, logrando la ISO 27001 ayudará a su organización a conseguir nuevos clientes y a retener los negocios existentes.

Las personas con las que desea trabajar se sentirán seguras de que usted cuidará de sus valiosos activos y de la seguridad de su información.

También te ayudará a demostrarles que te tomas en serio sus seguridad física y ambiental.

  • Lograr la ISO 27001 por primera vez
  • Mantenga su certificación ISO 27001
  • Reducir la probabilidad de violaciones de seguridad de la información
  • Reaccionar ante ellos más rápidamente cuando sucedan.
  • Demuestre rápida y fácilmente los controles que tiene implementados
  • Ayuda con estándares específicos del sector

Descarga tu folleto

Transforme su SGSI existente

Descarga tu guía gratuita
para optimizar su Infosec

Obtén tu guía gratis

No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
Vivian Corona
Implementador líder de ISO 27001, 27701 y GDPR Aperian Global
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

Preguntas frecuentes

 

¿Por qué elegir ISMS.online para ISO 27001?

Seleccionar ISMS.online para su implementación ISO 27001 ofrece numerosas ventajas para las organizaciones que buscan la certificación y mantienen un Sistema de Gestión de Seguridad de la Información (SGSI) sólido. Estas son las razones clave por las que debería elegir ISMS.online:

  • Entorno SGSI en línea todo en uno: proporcionamos una plataforma en línea simple y segura que agiliza la gestión de su SGSI, haciéndola más fácil, rápida y eficiente.

  • Políticas y controles ISO 27001 precargados: nuestra plataforma cuenta con contenido, herramientas y marcos de seguridad de la información preconfigurados, lo que le permitirá comenzar con el 81 % de su documentación SGSI ya completada. Esto reduce significativamente el tiempo y el esfuerzo necesarios para lograr el cumplimiento.

  • Virtual Coach: nuestro paquete Virtual Coach opcional ofrece orientación, sugerencias y consejos específicos para el contexto ISO 27001 para lograr el éxito, eliminando la necesidad de costosos honorarios de consultoría. Esto le permite trabajar a su propio ritmo y alcanzar sus objetivos de certificación.

  • Gestión integrada de la cadena de suministro: ISMS.online incluye herramientas para gestionar su cadena de suministro, garantizando la seguridad de la información de extremo a extremo y fortaleciendo las relaciones con los proveedores.

  • Compatibilidad con múltiples estándares: nuestra plataforma admite más de 50 de los estándares más buscados, como ISO 27001, ISO 27701, GDPR, NIST y SOC 2. Esto convierte a ISMS.online en una solución integral para organizaciones que buscan lograr y mantener el cumplimiento. con múltiples estándares.

¿Qué es un Sistema de Gestión de Seguridad de la Información?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto integral de políticas y procedimientos que garantiza, gestiona, controla y mejora continuamente la seguridad de la información dentro de una organización.

En ISMS.online, proporcionamos un marco SGSI sólido para profesionales de la seguridad de la información como usted, con el objetivo de salvaguardar los datos confidenciales de su empresa.

Nuestro enfoque sistemático para gestionar la información confidencial de la empresa incluye personas, procesos y sistemas de TI, aplicando un proceso de gestión de riesgos para minimizar el riesgo y garantizar la continuidad del negocio limitando proactivamente el impacto de las violaciones de seguridad.

¿Por qué es importante la norma ISO 27001?

ISO 27001 desempeña un papel crucial en las organizaciones al ayudarlas a identificar y gestionar los riesgos de forma eficaz, coherente y mensurable. En ISMS.online, entendemos la importancia de la certificación ISO 27001 para empresas de todos los tamaños.

A continuación se presentan algunas razones por las que ISO 27001 es esencial para su organización:

  • Reducción de riesgos: ISO 27001 minimiza los riesgos de seguridad de la información y protección de datos de su organización, garantizando la seguridad de la información sensible.

  • Confianza del cliente: Como organización certificada, usted demuestra un compromiso con la seguridad, lo que le brinda una ventaja competitiva ante los clientes y las partes interesadas potenciales. En ISMS.online, reconocemos la importancia de generar confianza en los clientes y en sus servicios.

  • Procesos optimizados: La implementación de ISO 27001 permite a las empresas documentar sus principales procesos, reduciendo la ambigüedad y aumentando la productividad. Nuestra plataforma ISMS.online simplifica la gestión de su SGSI, haciéndolo más eficiente para su personal.

¿Qué es ISO 27001?

ISO 27001 es el principal estándar internacional para la seguridad de la información, publicado por la Organización Internacional de Normalización (ISO) en colaboración con la Comisión Electrotécnica Internacional (IEC).

Pertenece a la serie ISO/IEC 27000 y ofrece un marco para que organizaciones de cualquier tamaño o industria salvaguarden su información a través de un Sistema de Gestión de Seguridad de la Información (SGSI).

La última versión, ISO 27001:2022, incluye actualizaciones para abordar el panorama cambiante de la tecnología y la seguridad de la información.

¿Cuál es la diferencia entre el cumplimiento y la certificación ISO 27001?

La principal distinción entre el cumplimiento y la certificación ISO 27001 radica en el nivel de validación y reconocimiento externos:

Cumplimiento con ISO 27001

  • Se refiere a una organización que cumple con los requisitos de la norma ISO 27001, que se centra en los Sistemas de Gestión de Seguridad de la Información (SGSI).

  • En términos simples, el cumplimiento podría significar que su organización sigue la norma ISO 27001 (o partes de ella) sin someterse a ningún proceso de certificación formal.

Certificación ISO 27001

  • El proceso en el que una organización independiente, denominada organismo de certificación, audita el SGSI de su organización.

  • Determina si sus procesos, así como sus productos y servicios, cumplen con los criterios ISO.

¿Cuánto tiempo durará su certificación ISO 27001?

Su certificación ISO 27001:2022 es válida por tres años luego de auditorías de certificación exitosas.

Durante este período, como profesionales de la seguridad de la información, se espera que usted:

  • Realice evaluaciones periódicas del desempeño de su SGSI.

  • Asegúrese de que la alta dirección revise su SGSI de forma constante.

Al final del ciclo de tres años, se lleva a cabo una auditoría de recertificación y, una vez finalizada con éxito, la certificación se renueva por otros tres años.

En ISMS.online, entendemos la importancia de mantener su certificación ISO 27001. Nuestra plataforma ofrece una solución integral para ayudarlo a usted y a su organización a lograr y mantener el cumplimiento de múltiples estándares, incluida la ISO 27001.

El camino comprobado hacia el éxito de ISO 27001

Construido con todo lo que necesita para tener éxito con facilidad y listo para usar nada más sacarlo de la caja, ¡no requiere capacitación!
Políticas internas

Políticas y controles perfectos

Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento

Más información
gestión de riesgos

Gestión de riesgos sencilla

Aborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento

Más información
Informes

Medición e informes automatizados

Tome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.

Más información
Auditorías

Auditorías, acciones y revisiones

Simplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión

Más información
Enlace

Trabajo de mapeo y vinculación

Ilumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.

Más información
Activos

Fácil gestión de activos

Seleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad

Más información
Integración perfecta

Integración rápida y perfecta

Integraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento

Más información
Normas-Reglamentos

Otras normas y reglamentos

Agregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más

Más información
Cumplimiento

Garantía de cumplimiento del personal

Involucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento

Más información
de la Cadena de suministro

Gestión de la cadena de suministro

Gestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.

Más información
Partes interesadas

Gestión de Interesados

Mapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente

Más información
Privacidad

Fuerte privacidad y seguridad

Fuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas

Más información
 


« ISO 27008

ISO 27010 »

Vea la plataforma ISMS.online en acción
Reserva tu demostración

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más