ISO 31000 Fundamentos de Sistemas de Gestión de Riesgos

Qué es la información?

Información es aquello que informa o resuelve la incertidumbre. La información es un activo empresarial que tiene valor para una organización y, por tanto, debe protegerse. La información se puede encontrar en cualquier forma, incluyendo:

• Electrónica: correo electrónico, datos almacenados, sitios web, etc.
• Físicas: archivos en papel, CD, fotografías, unidades USB, etc.
• Verbal: conversaciones telefónicas, conversaciones en persona, reuniones, etc.
• Conocimiento: conocimiento de los empleados (en sus cabezas)

Qué es la norma ISO 27001?

ISO 27001 es la estandarización internacional de requisitos auditables para un sistema de gestión de seguridad de la información (SGSI). ISO 27001 tiene dos partes principales que incluyen las Secciones 4-10 y el Anexo

Qué es la serie de normas ISO?

Todas las normas ISO constan de una serie de normas que se aplican a una categoría específica de sistema de gestión. La serie de normas ISO 27000 aborda específicamente los sistemas de gestión de seguridad de la información (SGSI).

Normalmente es la primera norma de cada serie ISO que contiene los requisitos del sistema de gestión. Por lo tanto, normalmente sólo el primer estándar de cada serie es «certificable», como por ejemplo;

• ISO 27001 = Sistemas de Gestión de Seguridad de la Información (SGSI)
• ISO 9001 = Sistemas de Gestión de Calidad (SGC)
• ISO 22301 = Sistemas de Gestión de Continuidad del Negocio (BCMS)

*Todos los demás estándares de cada serie ISO suelen ser referencia/orientación para respaldar uno o más de los requisitos del sistema de gestión. Algunas normas de referencia ISO 27000 comúnmente utilizadas incluyen:

• ISO 27002 = referencia/guía para controles de seguridad de la información (código de práctica)
• ISO 27004 = referencia/guía para la medición de la seguridad de la información
• ISO 27005 = referencia/guía para la evaluación de riesgos

*hay muchos más estándares de referencia/guía disponibles en la serie 27000