ISO 27001/ISO 22301 Base de conocimientos

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Diferencias y similitudes entre ISO 27001 e ISO 27002

Si se ha topado con las normas ISO 27001 y ISO 27002, probablemente haya notado que la ISO 27002 es mucho más detallada y mucho más precisa. Entonces, ¿cuál es el objetivo de la ISO 27001?

Ante todo, no es posible obtener la certificación ISO 27002 porque no es una norma de gestión. ¿Qué significa una norma de gestión? Significa que este tipo de norma define cómo ejecutar un sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestión de seguridad de la información (SGSI). Por lo tanto, la certificación en ISO 27001 sí es posible.

Este sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO 27001, pero no en la ISO 27002.

Las diferencias entre los controles en ISO 27002 e ISO 27001

 

blogpost-banner-consultants-es

Los controles en ISO 27002 se nombran igual que en el Anexo A de ISO 27001; por ejemplo, en ISO 27002, el control 6.1.2 se denomina “Segregación de funciones”, mientras que en ISO 27001 es “A.6.1.2 Segregación de funciones.” Pero la diferencia está a un nivel de detalle: en promedio, ISO 27002 explica un control en una página entera, mientras que ISO 27001 dedica solo una frase a cada control.

Por último, la diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse.

La pregunta es: ¿Por qué existen ambas normas en forma separada, por que no han sido integradas utilizando los aspectos positivos de cada una? La respuesta está en la utilidad: si fuera una única norma, sería demasiado compleja y larga como para que sea práctica.

¿Qué estándar utilizar de la serie ISO 27000 y cuándo?

Cada norma de la serie ISO 27001 está diseñada con un enfoque preciso: si desea crear la estructura de la seguridad de la información en su organización y definir su encuadre, debería usar la ISO 27001; si desea implementar controles, debería usar la ISO 27002; si desea realizar la evaluación y tratamiento de riesgos, debería usar la ISO 27005; etc.

Para finalizar, se podría decir que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar. Sin embargo, sin el marco de gestión de la ISO 27001, la ISO 27002 sería simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la información, sin la aceptación de la alta dirección y, por lo tanto, sin efectos reales sobre la organización.

Para aprender lo básico de ISO 27001, revise gratuitamente el ISO 27001 Foundations Online Course.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

Una respuesta a “Diferencias y similitudes entre ISO 27001 e ISO 27002”

  1. Koichi Nagasawa dice:

    Muy buen articulo. Gracias, lo estaba necesitando para un trabajo practico de la facultad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ASESORÍA GRATUITA EN ISO 27001/22301
Dejan Kosutic
Especialista líder en ISO 27001/ISO 22301, Advisera

OBTENGA ASESORÍA GRATUITA

PRÓXIMO SEMINARIO WEB GRATUITO
Fundamentos básicos de la evaluación y tratamiento de riesgos según ISO 27001
Jueves 23 de mayo de 2019

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM, TL y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.