ISO/IEC 27001 la gran familia de normas ISO/IEC 27000, es un sistema de gestión de seguridad de la información (SGSI), norma publicada en octubre de 2005 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional.

ISO/IEC 27001 especifica formalmente un sistema de gestión que se pretende aportar seguridad de la información bajo el control explícito de la dirección. Al ser una especificación formal significa que en ella se prevén requisitos específicos. Organizaciones que dicen han adoptado, por tanto, la norma ISO/IEC 27001 que puede ser auditada y certificada conforme a la norma y certificado estándar

ISO / IEC 27001 requiere que la gestión:

- Examinar sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;

- Diseñar e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y/u otras formas de tratamiento del riesgo (tales como la cobertura de riesgos o de transferencia de riesgo) para hacer frente a los peligros que se consideran inaceptables; y

- Adoptar un proceso muy importante de gestión para asegurar que los controles de seguridad de la información sigan satisfaciendo las necesidades de seguridad de información de la organización sobre una base continua.

Las organizaciones que implementan un conjunto de controles de seguridad de la información de conformidad con la norma ISO/IEC 27002 son al mismo tiempo probables para satisfacer muchos de los requisitos de la norma ISO/IEC 27001, pero pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, un certificado de cumplimiento de ISO/IEC 27001 proporciona la seguridad de que el sistema de gestión de seguridad de la información está en su lugar, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización.

Los controles técnicos de seguridad, como antivirus y firewalls no son auditados normalmente con esta norma: la organización presume de haber adoptado todos los controles de seguridad de la información necesaria, ya que el ISMS en general está en su lugar y se considera adecuada mediante el cumplimiento de los requisitos de la norma ISO/IEC 27001. Por otra parte, la administración determina el alcance del SGSI a efectos de certificación y puede limitarlo a, por ejemplo, una única unidad de negocio o ubicación.

El certificado ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera de la zona restringida, tenga un enfoque adecuado para la gestión de seguridad de la información.

Otras normas de la familia de la ISO/IEC 27000 proporcionan una guía adicional sobre determinados aspectos de diseño, implementación y operación de un SGSI, por ejemplo, en la gestión de riesgos de seguridad de la información (ISO / IEC 27005).

Seis pasos para una mayor seguridad TI

Con la experiencia e intuición de nuestros expertos se analizarán y evaluarán sus procesos y sistemas de acuerdo con el siguiente procedimiento de seis pasos:

1. Auditoría preliminar (opcional)

Los auditores llevan a cabo una auditoría preliminar para determinar si en su empresa ya se ha aplicado cualquier requisito asociado con esta norma y, en caso afirmativo, cuáles.

2. Auditoría de certificación. Etapa I

Evaluación del sistema de gestión y revisión de su documentación, estado y grado de comprensión de los requisitos de la norma ISO 27001

3. Auditoría de certificación. Etapa II

Evaluación de la implementación, incluida la eficacia.

Informe final con toma de decisión

4. Emisión del certificado

Una vez que se hayan cumplido todos los criterios, su empresa recibirá el certificado, en el que se pondrá de manifiesto la implementación de su sistema de gestión y su conformidad con la norma ISO 27001.

5. Auditorías de seguimiento

Nuestras auditorías anuales de seguimiento le ayudarán a optimizar continuamente sus procesos.

6. Renovación de la certificación

La auditoría de renovación se lleva a cabo transcurridos tres años, y le ayudará a desarrollar procesos de mejora continuos. Esto pondrá de manifiesto su compromiso a largo plazo con la seguridad TI ante sus socios y clientes.