¿Cuál es la diferencia entre la ISO 27001 y la ISO 27002?

Cuando las organizaciones deciden implementar un Sistema de Gestión de Seguridad de la Información, a menudo se preguntan cuál es la diferencia entre la ISO 27001 y la ISO 27002. En pocas palabras, la ISO 27001 contiene los requisitos de la Norma del Sistema de Gestión de Seguridad de la Información y la ISO 27002 ofrece directrices y mejores prácticas destinadas a las organizaciones que se están certificando o que están implementando sus propios procesos y controles de seguridad.

La ISO 27000 es una serie de normas internacionales relacionadas con la seguridad de la información. La norma ISO 27001 tiene un enfoque organizacional y detalla los requisitos contra los cuales el ISMS (Sistema de Gestión de Seguridad de la Información) de una organización, puede ser auditado. La ISO 27001 es una norma de sistemas de gestión y, por lo tanto, establece requisitos específicos en los que puede ser certificada por un registrador acreditado de tercera parte. Si una organización quiere certificar su Sistema de Gestión de Seguridad de la Información (SGSI) debe cumplir con todos los requisitos de la ISO 27001.

Por otra parte, la norma ISO 27002 se centra más en ejemplos concretos, directrices y proporciona un código de prácticas para su uso por los individuos dentro de una organización. No se puede certificar la ISO 27002 porque no es una norma de sistemas de gestión.

En cambio, se estableció sobre la base de diversas directrices y principios para iniciar, aplicar, mejorar y mantener la gestión de la seguridad de la información dentro de una organización. Los controles reales de la norma abordan requisitos específicos mediante una evaluación formal de los riesgos. La norma consiste en directrices específicas para la elaboración de normas de seguridad de la organización y prácticas eficaces de gestión de la seguridad que serían útiles para fomentar la confianza en las actividades entre organizaciones.

Hay una docena de otras normas en la serie ISO 27000 que están todas diseñadas para ayudar a las empresas a asegurar su información organizativa. Entre ellas se encuentran la ISO 27005 para las organizaciones que buscan más detalles sobre cómo llevar a cabo la evaluación y el tratamiento de los riesgos y la ISO 27004 que proporciona directrices destinadas a ayudar a las organizaciones en la supervisión, medición, análisis y evaluación de su rendimiento en materia de seguridad de la información y la eficacia de su SGSI.

Cada norma de la serie ISO 27000 está diseñada con un cierto enfoque en mente, pero si desea construir los cimientos de la seguridad de la información en su organización, e idear su marco, debe utilizar la ISO 27001; la ISO 27002 está diseñada para ser una herramienta para ayudar a las organizaciones con la implementación de la ISO 27001 o para las organizaciones que quieran implementar sus propias directrices de gestión y controles en torno a la seguridad de la información.

Leave a Comment!