ISO / IEC 27001: 2013 – Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos (segunda edición)
< Estándar anterior ^ Subir un nivel ^ Estándar siguiente >
Introducción
ISO / IEC 27001 especifica formalmente un Sistema de gestión de seguridad de la información, un acuerdo de gobierno que comprende un conjunto estructurado de actividades con las que gestionar los riesgos de la información (llamados riesgos de seguridad de la información en la norma) .
El SGSI es un marco general a través del cual la gerencia identifica, evalúa y trata (aborda) los riesgos de información de la organización. El SGSI garantiza que los arreglos de seguridad estén ajustados para mantenerse al día con los cambios en las amenazas de seguridad, las vulnerabilidades y los impactos comerciales, un aspecto importante en un campo tan dinámico y una ventaja clave del enfoque flexible basado en riesgos de ISO27k en comparación con, digamos, PCI-DSS.
El estándar cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) de todos los tamaños (desde microempresas hasta grandes multinacionales) en todas las industrias (por ejemplo, minorista, banca, defensa, salud , educación y gobierno). Este es claramente un resumen muy amplio.
ISO / IEC 27001 no exige formalmente controles específicos de seguridad de la información, ya que los controles que se requieren varían notablemente en la amplia gama de organizaciones que adoptan el estándar. Los controles de seguridad de la información de ISO / IEC 27002 se resumen en el anexo A de ISO / IEC 27001, más bien como un menú. Las organizaciones que adoptan ISO / IEC 27001 son libres de elegir los controles de seguridad de la información específicos que sean aplicables a sus riesgos de información particulares, basándose en los que se enumeran en el menú y potencialmente completándolos con otras opciones a la carta (a veces conocidas como conjuntos de control extendidos). Al igual que con ISO / IEC 27002, la clave para seleccionar los controles aplicables es realizar una evaluación integral de los riesgos de información de la organización, que es una parte vital del SGSI.
Además, la administración puede optar por evitar, compartir o aceptar los riesgos de la información en lugar de mitigarlos mediante controles: una decisión de tratamiento de riesgos dentro del proceso de gestión de riesgos.
Historia
ISO / IEC 27001 es derivado de BS 7799 Part 2, publicado por primera vez como tal por el British Standards Institute en 1999.
BS 7799 Part 2 se revisó en 2002, incorporando explícitamente el estilo Deming Ciclo Planificar-Hacer-Verificar-Actuar.
BS 7799 parte 2 fue adoptada como la primera edición de ISO / IEC 27001 en 2005 con varios cambios para reflejar sus nuevos custodios .
La segunda edición de ISO / IEC 27001 se publicó en 2013, después de haber sido revisada exhaustivamente para alinearla con las otras normas de sistemas de gestión ISO. PDCA ya no es explícito, pero el concepto de refinamiento continuo y mejora sistemática permanece, seguro.
Estructura del estándar
ISO / IEC 27001: 2013 tiene las siguientes secciones:
0 Introducción – el estándar describe un proceso para administrar sistemáticamente riesgos de información.
1 Alcance: especifica los requisitos de SGSI genéricos adecuados para organizaciones de cualquier tipo, tamaño o naturaleza.
2 Referencias normativas: solo ISO / IEC 27000 se considera absolutamente esencial para usuarios de 27001: las normas ISO27k restantes son opcionales.
3 Términos y definiciones – ver ISO / IEC 27000.
4 Contexto de la organización – comprensión del contexto organizacional, las necesidades y expectativas de las partes interesadas y definir el alcance del SGSI. La sección 4.4 establece claramente que «La organización debe establecer, implementar, mantener y mejorar continuamente» el SGSI.
5 Liderazgo: la alta dirección debe demostrar liderazgo y compromiso con el SGSI, exigir políticas y asignar seguridad de la información. roles, responsabilidades y autoridades.
6 Planificación: describe el proceso para identificar, analizar y planificar el tratamiento de los riesgos de la información y aclarar los objetivos de seguridad de la información.
7 Soporte: adecuado, Se deben asignar recursos competentes, crear conciencia, preparar y controlar la documentación.
8 Operación: un poco más de detalle sobre la evaluación y el tratamiento de los riesgos de la información, la gestión de los cambios y la documentación de las cosas (en parte para que puedan ser auditados por los auditores de certificación).
9 Evaluación de desempeño: monitorear, medir, analizar y evaluar / auditar / revisar los controles de seguridad de la información, los procesos y el sistema de gestión, mejorando sistemáticamente las cosas cuando sea necesario.
10 Improvisación ement – abordar los hallazgos de auditorías y revisiones (por ejemplo, no conformidades y acciones correctivas), realizar mejoras continuas al SGSI.
Anexo A Objetivos y controles de control de referencia – de hecho, poco más que una lista de títulos de las secciones de control en ISO / IEC 27002. El anexo es normativo, lo que implica que se espera que las organizaciones certificadas lo utilicen , pero el cuerpo principal dice que son libres de desviarse o complementarlo para abordar sus riesgos de información particulares. El anexo A por sí solo es difícil de interpretar. Consulte ISO / IEC 27002 para obtener más detalles útiles sobre los controles, incluida la guía de implementación.
Bibliografía: señala a los lectores cinco estándares relacionados, además de la parte 1 de las directivas ISO / IEC, para obtener más información. Además, ISO / IEC 27000 se identifica en el cuerpo del estándar como un estándar normativo (es decir, esencial) y hay varias referencias a ISO 31000 sobre gestión de riesgos.
Requisitos obligatorios para la certificación
ISO / IEC 27001 es una especificación formalizada para un SGSI con dos propósitos distintos:
- Presenta el diseño de un SGSI, describiendo las partes importantes en un nivel bastante alto. nivel;
- Puede (opcionalmente) ser utilizado como base para una evaluación de cumplimiento formal por auditores de certificación acreditados con el fin de certificar que una organización cumple.
La siguiente documentación obligatoria se requiere explícitamente para la certificación:
- Alcance del SGSI (según la cláusula 4.3)
- Política de seguridad de la información (cláusula 5.2)
- Proceso de evaluación de riesgos de la información ( cláusula 6.1.2)
- Proceso de tratamiento del riesgo de la información (cláusula 6.1.3)
- Objetivos de seguridad de la información (cláusula 6.2)
- Evidencia de la competencia del personas que trabajan en seguridad de la información (cláusula 7.2)
- Otros documentos relacionados con el SGSI que la organización considera necesarios (cláusula 7.5.1b)
- Documentos de planificación y control operativo (cláusula 8.1)
- Los resultados de las evaluaciones de riesgos (cláusula 8.2)
- Las decisiones con respecto al tratamiento de riesgos (cláusula 8.3)
- Evidencia del monitoreo y medición de la seguridad de la información (cláusula 9.1 )
- El programa de auditoría interna del SGSI y los resultados de las auditorías realizadas (cláusula 9.2)
- Evidencia de las revisiones de la alta dirección del SGSI (cláusula 9.3)
- Evidencia de las no conformidades identificadas y las acciones correctivas que surjan (cláusula 10.1)
- Varios otros: El Anexo A menciona, pero no especifica completamente, documentación adicional, incluidas las reglas para el uso aceptable de activos, política de control de acceso, procedimientos operativos, confidencialidad o no -acuerdos de divulgación, principios de ingeniería de sistemas seguros, política de seguridad de la información para las relaciones con los proveedores, informar procedimientos de respuesta a incidentes de seguridad de la acción, leyes, regulaciones y obligaciones contractuales relevantes más los procedimientos de cumplimiento asociados y los procedimientos de continuidad de seguridad de la información. Sin embargo, a pesar de que el Anexo A es normativo, las organizaciones no están obligadas formalmente a adoptar y cumplir con el Anexo A: pueden utilizar otras estructuras y enfoques para tratar sus riesgos de información.
Es casi seguro que los auditores de certificación compruebe que estos quince tipos de documentación están (a) presentes y (b) adecuados para su propósito.
El estándar no especifica con precisión qué forma debe tomar la documentación, pero la sección 7.5.2 habla de aspectos como los títulos, autores, formatos, medios, revisión y aprobación, mientras que 7.5.3 se refiere al control de documentos , lo que implica un enfoque bastante formal al estilo ISO 9000. La documentación electrónica (como las páginas de la intranet) es tan buena como los documentos en papel, de hecho mejor en el sentido de que es más fácil de controlar y actualizar.
Alcance y Declaración de Aplicabilidad (SoA) del SGSI
Considerando que el estándar está destinado a impulsar la implementación de un SGSI en toda la empresa, asegurando que todas las partes de la organización se beneficien al abordar sus riesgos de información de una manera apropiada y administrada sistemáticamente , las organizaciones pueden determinar el alcance de su SGSI de la forma más amplia o limitada que deseen; de hecho, la definición del alcance es una decisión crucial para la alta dirección (cláusula 4.3). Un alcance de SGSI documentado es uno de los requisitos obligatorios para la certificación.
Aunque la Declaración de aplicabilidad no se define explícitamente, es un requisito obligatorio de la sección 6.1.3. SoA se refiere al resultado de las evaluaciones de riesgo de información y, en particular, las decisiones sobre el tratamiento de esos riesgos. El SoA puede, por ejemplo, tomar la forma de una matriz que identifica varios tipos de riesgos de información en un eje y opciones de tratamiento de riesgos en el otro, mostrando cómo se deben tratar los riesgos en el cuerpo y quizás quién es responsable de ellos. Por lo general, hace referencia a los controles relevantes de ISO / IEC 27002, pero la organización puede usar un marco completamente diferente, como NIST SP800-53, el estándar ISF, BMIS y / o COBIT o un enfoque personalizado.Los objetivos de control de seguridad de la información y los controles de ISO / IEC 27002 se proporcionan como una lista de verificación en el Anexo A para evitar pasar por alto los controles necesarios: no son obligatorios.
El alcance del SGSI y la SoA son cruciales si un tercero tiene la intención de confiar en el certificado de cumplimiento ISO / IEC 27001 de una organización. Si el alcance de la norma ISO / IEC 27001 de una organización solo incluye «Acme Ltd. Departamento X», por ejemplo, el certificado asociado no dice absolutamente nada sobre el estado de la seguridad de la información en «Acme Ltd. Departamento Y» o de hecho «Acme Ltd.» De manera similar, si por alguna razón la administración decide aceptar riesgos de malware sin implementar controles antivirus convencionales, los auditores de certificación pueden cuestionar una afirmación tan audaz pero, siempre que los análisis y las decisiones asociados fueran sólidos, eso por sí solo no sería una justificación para negarse a certificar la organización ya que los controles antivirus no son de hecho obligatorios.
Métricas
En efecto (sin usar el término «métricas») , la edición de 2013 del estándar requiere el uso de métricas sobre el desempeño y la efectividad del SGSI de la organización y los controles de seguridad de la información. La sección 9, «Evaluación del desempeño», requiere que la organización determine e implemente métricas de seguridad adecuadas … pero solo brinda requisitos de alto nivel.
ISO / IEC 27004 ofrece asesoramiento sobre qué y cómo medir para satisfacer el requisito y evaluar el rendimiento del SGSI: un enfoque eminentemente sensato no muy diferente al descrito en PRAGMATIC Security Metrics.
Certificación
El cumplimiento certificado con ISO / IEC 27001 por un organismo de certificación acreditado y respetado es completamente opcional, pero las organizaciones que están (¡con razón!) preocupadas por la seguridad de los proveedores y socios comerciales cada vez más su información y sobre los riesgos de la información en toda la cadena de suministro / red de suministro.
La certificación brinda una serie de beneficios que van más allá del mero cumplimiento, de la misma manera que un El certificado de la serie ISO 9000 dice más que n simplemente «Somos una organización de calidad». La evaluación independiente necesariamente aporta algo de rigor y formalidad al proceso de implementación (lo que implica mejoras en la seguridad de la información y todos los beneficios que aporta la reducción de riesgos) e invariablemente requiere la aprobación de la alta dirección (¡lo cual es una ventaja en términos de conciencia de seguridad, al menos!).
El certificado tiene potencial de marketing y valor de marca, lo que demuestra que la organización se toma en serio la gestión de la seguridad de la información. Sin embargo, como se señaló anteriormente, el valor de garantía del certificado depende en gran medida del alcance del SGSI y del SoA; en otras palabras, no confíe demasiado en el certificado de cumplimiento ISO / IEC 27001 de una organización si depende en gran medida de su información. seguridad. De la misma manera que el cumplimiento certificado de PCI-DSS no significa «Garantizamos la seguridad de los datos de las tarjetas de crédito y otra información personal», el cumplimiento certificado de ISO / IEC 27001 es una señal positiva, pero no una garantía absoluta sobre la seguridad de la información de una organización. . Dice «Tenemos un SGSI compatible», no «Estamos seguros», una distinción sutil pero importante.
Estado del estándar
ISO / IEC 27001 fue el primero publicado en 2005.
El estándar fue completamente reescrito y publicado en 2013. Esto fue mucho más que ajustar el contenido de la edición de 2005 ya que ISO insistió en cambios sustanciales para alinear este estándar con otros estándares de sistemas de gestión.
ISO / IEC 27002 fue ampliamente revisada y reeditada al mismo tiempo, por lo tanto, el Anexo A de ISO / IEC 27001 también se actualizó por completo: consulte la página de ISO / IEC 27002 para obtener más información.
Una corrección técnica de 2014 aclaró que la información es, después de todo, un activo. Caramba.
Una segunda corrección técnica endum en 2015 aclaró que las organizaciones están formalmente obligadas a identificar el estado de implementación de sus controles de seguridad de la información en el SoA.
Una tercera corrección técnica propuesta saltó al tiburón: SC 27 resistió la tentación de seguir modificando el estándar innecesariamente con cambios que deberían haber sido propuestos cuando estaba en borrador, y pueden no haber sido aceptados de todos modos. A pesar de no haberse abordado, la preocupación es válida: la norma sí confunde el riesgo de información con los riesgos relacionados con el sistema de gestión. Debería haber abordado el último, pero en su lugar, asumió el primero.
Un período de estudio analizó el valor y el propósito del Anexo A en relación con el SoA, concluyendo que el Anexo A es un enlace útil a ISO / IEC 27002, pero la redacción del cuerpo principal debe dejar en claro que el Anexo A es totalmente opcional: las organizaciones pueden adoptar cualquier conjunto de controles (o incluso otros tratamientos de riesgo) que consideren adecuados para tratar sus riesgos de información, siempre que el proceso de selección, implementación, gestión, seguimiento y mantenimiento de los tratamientos de riesgo cumpla con los requisitos del organismo principal, en En otras palabras, todo el proceso cae dentro del SGSI.
La próxima versión de ISO / IEC 27001 necesariamente incorporará cambios significativos que reflejen la próxima actualización de ISO / IEC 27002 (lo que significa reescribir el Anexo A, nuevamente) más algunos cambios en la redacción del cuerpo principal como resultado de las revisiones en curso del Anexo SL …
Comentarios personales
Anexo SL (anteriormente conocido como «Borrador de la Guía 83», a veces «Anexo L» ) el apéndice 2 especifica el texto estándar y la estructura común a todas las normas de sistemas de gestión ISO e ISO / IEC que cubren el aseguramiento de la calidad, la protección del medio ambiente, etc. La idea es que los gerentes que estén familiarizados con cualquiera de los sistemas de gestión comprendan los principios básicos que sustentan todos los demás. Conceptos como certificación, política, no conformidad, control de documentos, auditorías internas y revisiones de la dirección son comunes a todos los estándares de los sistemas de gestión y, de hecho, los procesos pueden, en gran medida, estar estandarizados dentro de la organización.
La próxima vez que se actualice este año, el Apéndice 2 del Anexo SL probablemente (si se aprueba):
- Definirá el riesgo como «efecto de la incertidumbre» (eliminando «los objetivos» de la definición utilizada en la versión actual de ISO / IEC 27000) con 4 notas (eliminando las últimas 2 de 6 notas en la definición actual). Queda por ver si esa simplificación ayuda, perjudica o no tiene ningún efecto en ISO27k.
- Reemplace «resultados» por «resultados», un cambio realizado principalmente para facilitar la traducción.
- Incluya «Planificación de cambios», es decir, cualquier cambio en el sistema de gestión debe realizarse en de manera planificada.
- Reemplazar «subcontratado» por «proporcionado externamente» para abarcar la subcontratación, la contratación y las compras convencionales.
- Especifique por separado los requisitos generales para las auditorías internas (9.2.1) y para el programa de auditoría interna (9.2.2).
- Especifique por separado los requisitos generales para las revisiones por la dirección (9.3.1) y para sus entradas (9.3.2) y salidas (9.3.3).
- Vuelva a enfatizar la necesidad de una mejora proactiva del sistema de gestión además de las respuestas reactivas a las deficiencias.
- Exigir varios otros cambios de redacción en todas las normas de sistemas de gestión ISO, incluido (presumiblemente) el siguiente publicación de ISO / IEC 27001.
La confusión de SC 27 sobre el significado pretendido de «activo de información» persiste: la decisión de eliminar la defi nición de «activo de información» de ISO / IEC 27000 en lugar de realmente tocar fondo, este problema puede haber sido un error táctico. Volver al término «activo», definido de manera muy amplia como algo de valor, genera problemas en todo ISO27k si el término se reemplaza por su definición literal y explícita. Un ladrillo es un activo, mientras que un teléfono inteligente bloqueado es un pasivo. «Valor» es un concepto nebuloso. Es justo preguntar «¿De valor para quién?» Además, dado que la organización actúa como custodio de cierta información que pertenece a otros, incluida la información personal y de propiedad que requiere protección adecuada. ¿Debería estar cubierta por el SGSI o no? Esta es una situación confusa, poco clara y, en última instancia, insatisfactoria para un estándar internacional.