NORMA ISO 17799 VS. ISO 27001

En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.

La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es:

- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).

- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.

- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.

- ISO 27003, que contendrá una guía de implementación.

- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.

- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.

A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:

a) Security Policy;

b) Organizing Information Security;

c) Asset Management;

d) Human Resources Security;

e) Physical and Environmental Security;

f) Communications and Operations Management;

g) Access Control;

h) Information Systems Acquisition, Development and Maintenance;

i) Information Security Incident Management;

j) Business Continuity Management;

k) Compliance.