Evolución de la familia ISO 27000

ISO 27000

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

BS 7799-1

La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación.

BS 7799-2

Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Revision de las partes 1 y 2

Las dos partes de la norma BS 7799 se revisaron en 1999. Contiene la especificación para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI documentado

BS 7799-1

La primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. es un conjunto de controles que incluye las buenas prácticas de gestión de seguridad de la información.

BS 7799-2

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

Es precisamente esta segunda parte que permite que las organizaciones puedan certificarse basado en los controles y objetivos de control establecidos en la primera parte.

ISO 27001

En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

ISO 27001

Es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles propuestos por el estándar.

ISO 27002

Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.

ISO 27003

Es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con éxito.

ISO 27004

Describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

ISO 27005

Es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.

ISO 27006 Y 27007

ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones certificadoras.

ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.