Beruflich Dokumente
Kultur Dokumente
La versión anterior de la norma ISO 27001 se creó hace 8 años. Mientras que para otras
normas no tiene mucha importancia, sólo tenemos que ver el cambio significativo en
tecnologías de la información que se ha producido en estos últimos años para conocer la
importancia de que la norma se encuentra actualizada. A todo esto debemos unir esta
nueva versión de la norma que ha sido estructurada con un lenguaje de alto nivel que se
sincroniza con todas la nuevas normas de gestión. Esto permite una mayor flexibilidad a
la hora de abordar una integración.
Una de las principales atracciones de la nueva ISO 27001 es el proceso de gestión del
riesgo, al que se le ha querido ofrecer una gran flexibilidad. Este proceso consiste en
identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan
de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la
confidencialidad, es necesario intentar así adaptar este proceso a la norma ISO 31000. Esto
consigue que el proceso de evaluación de riesgos sea mucho más claro, completo y objetivo
siendo un requisito de una buena gestión en cuanto a la seguridad de TI.
Anexo A
La inserción de la seguridad en los procesos en los que intervienen terceras partes, como
los proveedores, siendo una de las partes más importantes tratadas en el nuevo Anexo A.
Todos los controles han sido revisados y reestructurados de manera que nos ayuden a la
hora de abordar las relaciones con los proveedores. Ha sido eliminada la redundancia que
había antes entre ciertos controles y se ha conseguido una agrupación más lógica. Han sido
añadidos controles mucho más específicos, adaptados a las nuevas realidades
tecnológicas.
Mejora y orden
Los dominios ISO 27001:2013 deben ser evaluados incluyendo los siguientes objetivos:
Este dominio tiene el objetivo de llevar a cabo una protección adecuada en cuanto a los
activos de la empresa.
Con este dominio se consigue proteger todas las instalaciones de la empresa y toda la
información que maneja. Por esto, se establecen diferentes barreras de seguridad y
controles de acceso.
Dominio de cumplimiento
Su finalidad es asegurar que los requisitos legales de seguridad que han sido referidos al
diseño y gestión de los sistemas de información.