Nueva ISO/IEC 27003:2017 explica y orienta sobre como abordar los requisitos de ISO/IEC 27001 | Tecnologías de la Información y Consultoria

Nueva ISO/IEC 27003:2017 explica y orienta sobre como abordar los requisitos de ISO/IEC 27001

 

Con la publicación de la segunda edición de ISO/IEC 27003 podemos comprender de forma mas clara los requisitos de la ISO/IEC 27001:2013, toda vez que esta segunda edición es sustancialmente diferente a la anterior (ISO/IEC 27003: 2010) producto de un trabajo de revisión técnica y alineamiento con la edición vigente de la norma de requisitos.

Que cambios principales podemos encontrar en esta nueva edición?

Como ya señalé, esta edición es muy diferente a la edición 2010 teniendo entre sus cambios mas notorios:

  • como primer cambio notorio podemos citar el título, que ha cambiado de  "Guía de implementación del sistema de gestión de seguridad de la información " a "Orientación" pero el cambio es mas profundo que eso, toda vez que se ha cambiado también el alcance de la norma y ahora esta nueva edición nos orienta y clarifica sobre como abordar los requisitos de ISO/IEC 27001: 2013 mientras que la edición anterior (2010) nos proporcionaba una guía de implementación de acuerdo con ISO/IEC 27001: 2005.
  • otro cambio que podemos citar, es el cambio de la estructura de la norma, modificado para alinearse con la estructura de ISO/IEC 27001:2013, de modo que sea fácil para el usuario utilizarlo en conjunto con ISO/IEC 27001: 2013.
  • la versión anterior de ISO / IEC 27003 (2010) tenía un enfoque de proyecto desplegando una secuencia de actividades con instrucciones y recomendaciones para iniciar satisfactoriamente la implementación de la norma, mientras que en la nueva edición, esto ha sido cambiado completamente y ya no se tiene esa lógica. En esta versión encontramos orientación sobre los requisitos dentro de cada clausula ( de la 4 a la 10) que nos permiten comprender y entenderlos mas claramente la norma (ISO/IEC 27001:2013), independientemente del orden en que se implementen.

 

Sobre la ISO/IEC 27003:2013 "Information technology -- Security techniques -- Information security management systems -- Guidance"

Orienta sobre los requisitos para un sistema de gestión de la seguridad de la información (SGSI) bajo los requisitos de ISO/IEC 27001, brindando recomendaciones ('debería'), posibilidades ('podría') y permisos ('puede') en relación con estos.

No es intención de este documento el proporcionar una guía de información general sobre todos los aspectos de seguridad de la información.

Un SGSI enfatiza la importancia de las siguientes fases:

  • comprender las necesidades de la organización y la necesidad de establecer una política de seguridad de la información y objetivos de seguridad de la información;
  • evaluar los riesgos de la organización relacionados con la seguridad de la información;
  • implementar y operar procesos de seguridad de la información, controles y otras medidas para tratar los riesgos;
  • monitorear y revisar el desempeño y la efectividad del SGSI; Y
  • practicar la mejora continua.

ISO/IEC 27003:2017 es un documento genérico y está destinado a ser aplicable en cualquier organización, si importar el tipo, tamaño o naturaleza. La organización debería identificar qué parte de estas recomendaciones y guía le son aplicables de acuerdo con su específico contexto organizacional (ver ISO / IEC 27001: 2013, Cláusula 4).

Por ejemplo, algunas recomendaciones pueden ser más apropiadas para organizaciones grandes, pero en organizaciones muy pequeñas (por ejemplo, con menos de 10 personas), algunas de estas recomendaciones pueden ser innecesarias o no apropiadas.

 

Traducción no oficial realizada con fines de difusión

Fuente : https://www.iso.org/obp/ui/#iso:std:iso-iec:27003:ed-2:v1:en

_____________________________________________________________

Esperamos que esta información pueda ser de utilidad para los interesados.

Si tiene interés en estos temas los invitamos a unirse a nuestros grupos en redes sociales sobre temas específicos que mantenemos, puede encontrar la lista de nuestra actividad en redes sociales en el siguiente link : http://www.gtdi.pe/nuestras_redes  

Si tiene alguna consulta o comentario puede escribirnos a info@gtdi.pe

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001