ISO/IEC 27001 es la norma internacional para los Sistemas de Gestión de Seguridad de la Información (SGSI). Su objetivo es ayudar a las organizaciones a proteger la información sensible de forma sistemática y basada en riesgos.
Objetivos Clave
Garantizar la confidencialidad, integridad y disponibilidad de la información.
Proporcionar un marco de gestión de riesgos para identificar, evaluar y tratar riesgos de seguridad.
Demostrar cumplimiento frente a clientes, reguladores y otras partes interesadas.
Requisitos Principales
Contexto de la Organización – Comprender factores internos/externos, partes interesadas y alcance del SGSI.
Liderazgo y Gobierno – Compromiso de la alta dirección, política de seguridad, roles y responsabilidades.
Planificación – Evaluación y tratamiento de riesgos, objetivos, mejora continua.
Apoyo – Recursos, competencias, concientización, comunicación, documentación.
Operación – Actividades de gestión de riesgos, implementación de controles, gestión de proveedores.
Evaluación del Desempeño – Seguimiento, medición, auditorías internas, revisiones de la dirección.
Mejora – Acciones correctivas y mejora continua del SGSI.
Controles del Anexo A (ISO/IEC 27001:2022)
Los controles se agrupan en cuatro bloques principales (93 controles en total):
Controles organizativos (políticas, gestión de riesgos, relaciones con proveedores).
Controles de personas (capacitación, control de accesos, responsabilidades de usuarios).
Controles físicos (áreas seguras, seguridad de equipos, acceso a instalaciones).
Controles tecnológicos (cifrado, registros, seguridad de redes, monitoreo).