Dado que ISO 27000 es una serie de estándares iniciados por ISO para garantizar la seguridad dentro de las organizaciones en todo el mundo, vale la pena conocer la diferencia entre ISO 27001 e ISO 27002, dos de los estándares de la serie ISO 27000. Estas normas se han iniciado en beneficio de las organizaciones y también para proporcionar un servicio de calidad para los clientes. Este artículo analiza las diferencias entre ISO 27001 e ISO 27002.
La norma ISO 27001 es garantizar la seguridad de la información y la protección de datos en organizaciones de todo el mundo. Este estándar es tan importante para las organizaciones comerciales en la protección de sus clientes y la información confidencial de la organización contra amenazas. La implementación del sistema de gestión de seguridad de la información garantizaría la calidad, seguridad, servicio y confiabilidad del producto de la organización que puede salvaguardarse en su nivel más alto.
El objetivo principal de la norma es proporcionar requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). En la mayoría de las empresas, las decisiones de adoptar estos tipos de estándares son tomadas por la alta dirección. Además, el requisito de contar con este tipo de sistema de seguridad de la información para la organización surge debido a diversos factores, como los objetivos y metas de la organización, los requisitos de seguridad, el tamaño y la estructura de la organización, etc..
En la versión anterior de la norma en 2005, se desarrolló basándose en el ciclo PDCA, el modelo Planificar-Hacer-Verificar-Actuar para estructurar los procesos y de manera que reflejara los principios establecidos por las directrices de la OECG. La nueva versión en 2013 enfatiza la medición y evaluación de la efectividad del desempeño organizacional en SGSI. También ha incluido una sección basada en la subcontratación y se da mayor concentración a la seguridad de la información en las organizaciones..
La norma ISO 27002 se originó inicialmente como norma ISO 17799, que se basa en el código de práctica para la seguridad de la información. Destaca varios mecanismos de control de seguridad para organizaciones con la guía de ISO 27001.
El estándar se estableció sobre la base de varias directrices y principios para iniciar, implementar, mejorar y mantener la gestión de la seguridad de la información dentro de una organización. Los controles reales en el estándar abordan los requisitos específicos a través de una evaluación de riesgos formal. El estándar consta de pautas específicas para los desarrollos en los estándares de seguridad organizacional y prácticas de administración de seguridad efectivas que serían útiles para generar confianza dentro de las actividades interorganizacionales..
La versión existente de la norma se publicó en 2013 como ISO 27002: 2013 con 114 controles. El factor más importante que se debe tener en cuenta es que a lo largo de los años se han desarrollado o están en desarrollo varias versiones específicas de la industria de ISO 27002 en campos como el sector de la salud, la manufactura, etc..
• La norma ISO 27001 expresa los requisitos para la gestión de la seguridad de la información en las organizaciones, y la norma ISO 27002 proporciona asistencia y orientación a los responsables de iniciar, implementar o mantener los Sistemas de gestión de la seguridad de la información (SGSI)..
• ISO 27001 es un estándar de auditoría basado en requisitos auditables, mientras que ISO 27002 es una guía de implementación basada en sugerencias de mejores prácticas..
• ISO 27001 incluye una lista de controles de gestión para las organizaciones, mientras que ISO 27002 tiene una lista de controles operativos para las organizaciones.
• ISO 27001 se puede utilizar para auditar y certificar el Sistema de gestión de seguridad de la información de la organización e ISO 27002 se puede utilizar para evaluar la integridad del Programa de seguridad de la información de una organización.
Atribución de imagen: “CIAJMK1209Por John M. Kennedy T. (CC BY-SA 3.0)