viernes, 1 de agosto de 2025

ISO 27001 QUÉ ES Y PARA QUÉ SIRVE?

Esta norma ISO relacionada con la seguridad de la información ha ido aumentando su popularidad e implementación en los últimos años entre las organizaciones. Vamos a explicar el por qué.

 ¿Qué es la ISO 27001?

ISO 27001 es una norma internacional que regula el qué tienen que hacer las empresas para conseguir un certificado de seguridad de la información.

De lo que trata esta norma es de exponer una serie de requisitos que deben cumplir una empresa para proteger su forma de trabajo respecto a la seguridad de la información.

ISO 27001 es una mezcla entre:

  • Seguridad informática.
  • Seguridad de protección de datos personales.

Por lo tanto, cuando hablamos de ISO 27001, hablamos de seguridad:

  • En los accesos físicos y lógicos a los sistemas de información.
  • De los recursos humanos.
  • En redes y de las comunicaciones.
  • De los dispositivos finales de usuarios (equipos informáticos y otros).
  • En la instalación de software y uso de servicios.
  • En la identificación de vulnerabilidades técnicas de sistemas de información.

Y también hablamos de seguridad:

  • En la protección de datos personales.
  • Cuando detectemos una incidencia en la protección de datos personales.

Es importante que sepas que esta norma ISO 27001 es certificable.

¿qué significa eso?

Pues que si una empresa cumple con los requisitos de ISO 27001 puede realizar una auditoría externa (realizada por un tercero) y conseguir un certificado que acredita el cumplimiento de la misma.

Para qué sirve ISO 27001

ISO 27001 se utiliza para dos fines basicamente:

  • demostrar que una empresa cuenta con un certificado que acredita el trabajar con buenas prácticas desde el punto de vista de la seguridad de la información.
  • mejorar los procesos informáticos de una empresa.

Muchas las organizaciones también implantan iso 27001 para conseguir más puntuaciones en licitaciones públicas y poder trabajar así con organismos públicos.

Estructura de los requisitos de ISO 27001

Los requisitos para cumplir con ISO 27001 se dividen en dos grandes bloques:

Cumplimiento de los requisitos del Anexo SL
Cumplimiento de los controles de seguridad de la información según el Anexo A.

Requisitos del Anexo SL

Desde hace varios años, todas las normas ISO se han unificado respecto a su estructura.
Todos los estados miembros que regulan la elaboración de normas ISO han querido mantener una estructura de alto nivel a la hora de detallar el contenido de las normas ISO.

Esta estructura de alto nivel lo han llamado Anexo SL y está compuesto por los siguientes Bloques que están descritos en cada norma ISO:
  1. Objeto y campo de aplicación.
  2. Normas para consulta o referencias normativas.
  3. Términos y definiciones.
  4. Contexto de la organización.
  5. Liderazgo.
  6. Planificación.
  7. Soporte.
  8. Operación.
  9. Evaluación del desempeño.
  10. Mejora.
Esta es la estructura de bloques de contenido que tienen todas las normas ISO.

En cada norma ISO se hablará de una temática en concreto.

En este artículo estamos hablado de ISO 27001, por lo tanto en cada uno de los bloques de esta norma se detallarán asuntos relacionados a la seguridad de la información.

Para ISO 27001, los bloques que contienen requisitos y por tanto en donde se comienza a exigir el cumplimiento de los mismos es a partir del bloque 4 Contexto de la organización.

Los requisito exigibles de ISO 27001 por la parte del Anexo SL son 30.

Requisitos de los controles de seguridad del Anexo A

ISO 27001 tiene preparado una serie de controles de seguridad específicos que deben cumplir las empresas.

Estas medidas de seguridad están divididas en controles:

  • Organizacionales: existen 37 controles de seguridad.
  • A personas: existen 8 controles.
  • De la infraestructura: existen 14 controles.
  • A la tecnología: existen 34 controles.
En total son 93 controles de seguridad, no obstante, ISO 27001 permite que puedas justificar el por qué no te aplican ciertos controles.

Esta justificación debes realizarla en un documento que se llama Declaración de Aplicabilidad.

En el cuál debes describir todos los controles de seguridad y detallar cómo te aplican y por qué alguno no te aplica.

Como obtener el certificado ISO 27001
Si en tu organización quieren obtener el certificado ISO 27001 lo que debes hacer es:

  • Cumplir todos los requisitos del Anexo SL.
  • Cumplir con los requisitos que te apliquen del Anexo A.
  • Llamar a un organismo certificador para que te hagan una auditoría externa y comprueben que te cumples los requisitos de la norma ISO 27001.




Son estos organismos certificadores los que emiten el certificado ISO 27001 a tu organización una vez superes la auditoría.

En muchas ocasiones las empresas necesitan de una ayuda externa de un consultor ISO 27001 ya que no tienen conocimientos o recursos humanos internos para saber cómo cumplir con los requisitos.

Autor: Iván Torres, Licenciado en Administración y Dirección de Empresas,
Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
Experto en Customer Experience Management

Tomado de: https://iveconsultores.com/
Publicadas por a la/s
Etiquetas: , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)