Familia ISO 27000

La familia ISO 27000 pondrá a nuestra disposición, cuando los tengamos todos, una serie documentos referentes a Gestión de Seguridad de la Información, que nos proporcionará una buena herramienta para gestionar este particular en el seno de las organizaciones. Tras todo el tiempo esperando una familia internacional coherente que cubriera este aspecto, vemos cómo además de que ya se ha materializado la transición a ISO de determinados documentos, se está introduciendo aún más si cabe la cultura de Gestión de Seguridad de la Información en múltiples niveles.

Con la salida a cancha de la ISO 27001, norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI), se ha abierto esta nueva era, la cual toma el relevo de etapas anteriores en las que las empresas que pretendían cubrir este particular lo hacían con estándares propios de otros países, como puedan ser de British Standards Institution (BSI). La situación que se espera tener respecto de la familia, en términos documentales es:

ISO 27000. Documento típico de vocabulario y definiciones como pueda ser la ISO 9000 en la familia de Gestión de la Calidad. De especial interés habida cuenta de la terminología técnica específica del área que trata. Será bastante interesante ver qué términos se incluirán y cómo serán definidos. Las tendencias más puristas del sector están actualmente expectantes al respecto. En el terreno de la probabilidad, quizás pueda incluir términos de la ISO/IEC Guide 2:1996 de vocabulario general de estandarización y actividades relacionadas y/o de ISO/IEC Guide 73:2002 referente al vocabulario de Gestión de Riesgos y sus parámetros de uso en estándares. Éstos y otros documentos similares referentes a vocabulario pueden ser consultados en la página de ISO.

ISO 27001. Éste es el estándar de la familia que permite certificar (especifica requisitos), por entidad acreditada para ello, el Sistema de Gestión de Seguridad de la Información. Basado como otros en el ciclo PDCA (Plan – Do – Check - Act), deriva de la BS 7799-2, la cual fue adoptada por ISO como estándar internacional y lanzada como ISO/IEC 27001:2005. Especifica requisitos para el diseño, implantación, mantenimiento y mejora del SGSI, sus procesos y los controles de aplicación. Respecto de los controles, aparecen como anexos y provienen de ISO 17799:2005. Éstos, más los que la organización desee incorporar, deberán conformar un sólido sistema que permita el fin último: la seguridad de la información. Trabajando con el mismo, nos familiarizamos con términos como: activos, análisis de riesgo, nivel de riesgo aceptable, declaración de aplicabilidad (Statement of Applicability - SOA), gestión del riesgo (Risk Treatment Plan - RTP), planes de contingencias, continuidad de negocio, etc. El estándar está en vigor y editado, por lo que su estructura puede consultarse directamente obteniendo el documento.

ISO 27002. Se prevé que sea el relevo natural de ISO 17799 por el año 2007 como código de prácticas para la Gestión de Seguridad de la Información.


ISO 27003. Hablamos de la Guía para la implantación del Sistema de Gestión de Seguridad de la Información. Básicamente su finalidad es la de ayudar y facilitar la implantación del SGSI. Se espera su aparición en escena allá por 2008, más bien a finales del mismo, y existe una estructura propuesta para la misma que nos ha sido facilitada por una entidad de certificación con su propia traducción. Asumiendo el riesgo de que alguna traducción no sea demasiado exacta (!!##??) exponemos la misma:

00.- Introducción
01.- Alcance

02.- Términos y definiciones

03.- F.C.E.: Compromiso de la Dirección. Beneficios del negocio

04.- Guía de aproximación al proceso

05.- Guía de uso del modelo PDCA

06.- Guía para los procesos de Planificación (PLAN – do – check –act)
- Introducción
- Establecimiento del alcance del SGSI
- Políticas para el SGSI y Política de Seguridad de la Información
- Realización de Análisis de Riesgos
- Toma de decisiones derivadas del Análisis de Riesgos

07.- Guía para los procesos de ejecución (plan – DO – check – act)
- Introducción
- Ejecución e implantación del plan de tratamiento de riesgos
- Implantación de controles
- Formación y competencia
- Implantación de programas de gestión de incidentes de IS
- Gestión de recursos

08.- Guía para los procesos de verificación (plan – do – CHECK – act)
- Introducción
- Supervisión: seguimiento y procedimientos
- Revisión
- Auditorías Internas
- Revisión por la Dirección
- Indicadores del SGSI
- Análisis de tendencias
- Control de documentación y registros

09.- Guía para los procesos de actuación (plan – do – check – ACT)
- Introducción
- Implantación de mejoras
- Identificación de No Conformidades
- Identificación e implantación de acciones correctivas y preventivas
- Mejora continua
- Prueba
- Comunicación de cambios y mejoras

10.- Cooperación con otras organizaciones


ISO 27004. Aquí tendremos las métricas e indicadores que ayudarán a las organizaciones que apuesten por un SGSI a tener datos fiables que monitoricen el grado o nivel de funcionamiento de sus sistemas. Este estándar está siendo tratado en la actualidad según nuestra información y tratará factores como qué medir, cómo medirlo o cuándo medirlo. Se espera su lanzamiento a finales de 2007 o, quizás, en 2008.

ISO 27005. En este documento tendremos lo relativo a gestión de riesgos. La información disponible apunta a que la nueva BS 7799-3:2006 será adoptada por ISO como ISO 27005 con posibles cambios respecto de la misma más incorporación de otros pasajes pertenecientes a otros estándares alineados con la gestión de riesgos. Respecto de fechas, pues podemos hablar de finales de 2007, quizás en 2008. Todavía no hay nada definitivo y los plazos muchas veces vienen marcados por las pautas de trabajo en el proyecto.


ISO 27006. En un instante inicial se creía que sería la norma destinada a Continuidad de Negocio. Actualmente, tras la reunión del Subcomité 27 de ISO en Madrid, se dió a conocer que ISO 27006 estaría enfocada a la interpretación de los requisitos para la acreditación de entidades que certifiquen SGSI. Respecto de este paticular, ISO ha puesto la directa en la reunión de Madrid y se ha establecido una reunión en Montreal para monitorizar el correcto desarrollo de la misma evitando demoras. Se estima que el documento en cuestión es una revisión de EA-7/03 y está basada en la conocida ISO 17021, referente a Sistemas de Gestión de Seguridad de la Información basados en la norma de Evaluación de Conformidad.
Para el Grupo de Trabajo 1 (WG1) dentro del SC-27 se va a trabajar sobre ISO 27000 a ISO 27019, así como de ISO 27030 a ISO 27044, según informaciones de SIC.
Como proyectos futuros, destacan entre otros, ISO 27015 destinada a Auditorías y Revisiones, así como ISO 27016 referente a Evaluación y Pruebas de la eficacia del Plan y Procedimientos del SGSI.

Fuente: http://iso9001-iso27001-gestion.blogspot.com