Discover the new ISO/IEC 27001:2022 Handbook
The purpose of this handbook is to assist SMEs in establishing and maintaining an ISMS as per ISO/IEC 27001, the premier standard for information security.
¿Qué es la norma ISO/IEC 27001?
La ISO/IEC 27001 es la norma más conocida del mundo para sistemas de gestión de la seguridad de la información (SGSI). Esta norma define los requisitos que debe cumplir un SGSI.
La norma ISO/IEC 27001 proporciona a las empresas de cualquier tamaño y de todos los sectores orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información.
La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional.
¿Por qué es importante la norma ISO/IEC 27001?
Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva.
La ISO/IEC 27001 promueve un enfoque integral de la seguridad de la información, que abarca a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa.
Obtenga un valor añadido en su buzón
Regístrese para obtener actualizaciones y recursos relacionados, empezando por una lista de verificación de la madurez de la seguridad de la información.
Cómo se utilizarán sus datos
Consulte nuestro aviso de privacidad. Este sitio está protegido por reCAPTCHA. Se aplican la Política de privacidad y las Condiciones del servicio de Google
Beneficios
- Resistencia a los ciberataques
- Preparación ante nuevas amenazas
- Integridad, confidencialidad y disponibilidad de la información
- Seguridad en todos los soportes
- Protección en toda la empresa
- Ahorro de costos
Preguntas frecuentes
Hoy en día, el robo de datos, la ciberdelincuencia y la responsabilidad por filtraciones de privacidad son riesgos que todas las organizaciones deben tener en cuenta. Cualquier empresa debe pensar de forma estratégica en sus necesidades de seguridad de la información y en cómo estas afectan a sus propios objetivos, procesos, tamaño y estructura. La norma ISO/IEC 27001 permite a las organizaciones implementar un sistema de gestión de la seguridad de la información y aplicar un proceso de control de riesgos adaptado a sus necesidades, y ampliarlo según sea necesario a medida que evolucionen estos factores.
Aunque las tecnologías de la información (TI) son la industria con mayor número de empresas certificadas conforme a la norma ISO/IEC 27001 (casi una quinta parte de todos los certificados válidos de la ISO/IEC 27001, según la Encuesta ISO 2021), los beneficios de esta norma han convencido a empresas de todos los sectores económicos (todo tipo de servicios y fabricación, incluidos el sector primario y organizaciones privadas, públicas y sin ánimo de lucro).
Al adoptar el enfoque integral descrito en la norma ISO/IEC 2700, las empresas se asegurarán de que la seguridad de la información quede integrada en los procesos de la organización, los sistemas de información y los controles de gestión. De esta manera, mejorarán su eficacia y se podrán convertir en líderes de su sector.
Aplicar el marco de seguridad de la información que especifica la norma ISO/IEC 27001 le ayudará a:
- Reducir su vulnerabilidad ante la creciente amenaza de ciberataques.
- Responder a la evolución de los riesgos de seguridad.
- Garantizar que activos como los estados financieros, la propiedad intelectual, los datos de los empleados y la información confiada por terceros permanezcan intactos y confidenciales, y que estén disponibles cuando sea necesario.
- Implementar un marco de gestión centralizada que proteja toda la información en un único lugar.
- Formar a las personas y habilitar las tecnologías de toda su compañía para hacer frente a los riesgos tecnológicos y otras amenazas.
- Proteger la información en todas sus formas, incluidos los datos en papel, en la nube y digitales.
- Poder ahorrar aumentando los niveles de eficacia y reduciendo los gastos en tecnologías que proporcionen una defensa ineficaz.
- Confidencialidad
→ Significado: Sólo las personas habilitadas pueden acceder a la información que posee la organización.
⚠ Ejemplo de riesgo: Los ciberdelincuentes se hacen con los datos de acceso de sus clientes y los venden en la Darknet. - Integridad de la información
→ Significado: Los datos que la organización utiliza para desarrollar su actividad o que mantiene a salvo para terceros se almacenan correctamente y están protegidos contra cualquier daño o borrado.
⚠ Ejemplo de riesgo: Un empleado borra accidentalmente una fila de un fichero mientras está trabajando en él. - Disponibilidad de la información
→ Significado: La organización y sus clientes pueden acceder a la información siempre que lo necesiten para satisfacer los objetivos empresariales y las expectativas de los clientes.
⚠ Ejemplo de riesgo: La base de datos de su empresa se queda sin conexión por problemas del servidor y la copia de seguridad es insuficiente.
Un sistema de gestión de la seguridad de la información que cumpla los requisitos de la norma ISO/IEC 27001 asegura la confidencialidad, integridad y disponibilidad de la información, aplicando un proceso de control de riesgos. Esto genera confianza en las partes interesadas en dicha información de que los riesgos se gestionan de forma adecuada.
Aunque a veces sea referida como ISO 27001, la abreviatura oficial de la Norma Internacional sobre requisitos para la gestión de la seguridad de la información es ISO/IEC 27001. Esto se debe a que ha sido publicada conjuntamente por la ISO y la Comisión Electrotécnica Internacional (IEC). El número indica que se publicó bajo la responsabilidad del Subcomité SC 27 (sobre Seguridad de la Información, Ciberseguridad y Protección de la Privacidad) del Comité Técnico Conjunto ISO/IEC sobre Tecnologías de la Información (ISO/IEC JTC 1).
La certificación ISO/IEC 27001 es una forma de demostrar a las partes interesadas y a los clientes que su empresa está comprometida y que es capaz de gestionar la información de forma segura y protegida. Contar con un certificado emitido por un organismo de acreditación puede generar mayor confianza para su empresa, ya que esto implica que ha pasado por una evaluación independiente en la cual el organismo de acreditación ha confirmado que el organismo de certificación cumple con los requisitos establecidos. Si desea utilizar un logotipo para demostrar la certificación, póngase en contacto con el organismo de certificación que expidió el certificado. Al igual que en otros contextos, las normas deben mencionarse siempre con su referencia completa, por ejemplo "certificado según la ISO/IEC 27001:2022" (no sólo "certificado según la ISO 27001"). Para consultar todos los detalles, visite uso del logotipo ISO.
Al igual que ocurre con otras normas ISO de sistemas de gestión, las empresas que aplican la norma ISO/IEC 27001 pueden decidir si desean obtener la certificación. Algunas empresas eligen implementar la norma ISO/IEC 27001 para aprovechar las buenas prácticas que contiene, mientras que otras la adoptan con el objetivo de obtener la certificación y ofrecer una tranquilidad a sus clientes y consumidores.
La norma ISO/IEC 27001 se utiliza de forma generalizada en todo el mundo. Según la Encuesta ISO 2021, se elaboraron más de 50 000 certificados en más de 140 países y para todos los sectores económicos: desde la agricultura hasta los servicios sociales, pasando por la industria manufacturera.
Informaciones generales
-
Estado: PublicadoFecha de publicación: 2022-10Etapa: Norma Internacional publicada [60.60]
-
Edición: 3Número de páginas: 19
-
Comité Técnico :ISO/IEC JTC 1/SC 27
- RSS actualizaciones
Information Security Management Systems: A practical guide for SMEs
This handbook focuses on guiding SMEs in developing and implementing an information security management system (ISMS) in accordance with ISO/IEC 27001, in order to help protect yourselves from cyber-risks.
ISO/IEC 27001:2022 - Information Security Management Systems - A practical guide for SMEs
Modificaciones
Las enmiendas se emiten cuando se decide que puede ser necesario agregar nuevo material a un documento de normalización existente. También pueden incluir correcciones editoriales o técnicas que deban aplicarse al documento existente.
Ciclo de vida
-
Anteriormente
RetiradaISO/IEC 27001:2013
RetiradaISO/IEC 27001:2013/Cor 1:2014
RetiradaISO/IEC 27001:2013/Cor 2:2015
-
Ahora
-
00
Preliminar
-
10
Propuesta
-
20
Preparación
-
30
Comité
-
40
Consulta
-
50
Aprobación
-
60
Publicación
-
90
Revisión
-
95
Retirada
Modificaciones
Aportan contenido adicional; disponible para su compra; no incluidas en el texto de la norma existente.PublicadoISO/IEC 27001:2022/Amd 1:2024
-
00