ISO 27001/ISO 22301 Base de conocimientos

Diferencias y similitudes entre ISO 27001 e ISO 27002

Autor: Dejan Kosutic

Si se ha topado con las normas ISO 27001 y ISO 27002, probablemente haya notado que la ISO 27002 es mucho más detallada y mucho más precisa. Entonces, ¿cuál es el objetivo de la ISO 27001?

Ante todo, no es posible obtener la certificación ISO 27002 porque no es una norma de gestión. ¿Qué significa una norma de gestión? Significa que este tipo de norma define cómo ejecutar un sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestión de seguridad de la información (SGSI). Por lo tanto, la certificación en ISO 27001 sí es posible.

Este sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO 27001, pero no en la ISO 27002.

Las diferencias entre los controles en ISO 27002 e ISO 27001

Los controles en ISO 27002 se nombran igual que en el Anexo A de ISO 27001; por ejemplo, en ISO 27002, el control 6.1.2 se denomina «Segregación de funciones», mientras que en ISO 27001 es «A.6.1.2 Segregación de funciones.» Pero la diferencia está a un nivel de detalle: en promedio, ISO 27002 explica un control en una página entera, mientras que ISO 27001 dedica solo una frase a cada control.

Por último, la diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse.

La pregunta es: ¿Por qué existen ambas normas en forma separada, por que no han sido integradas utilizando los aspectos positivos de cada una? La respuesta está en la utilidad: si fuera una única norma, sería demasiado compleja y larga como para que sea práctica.

¿Qué estándar utilizar de la serie ISO 27000 y cuándo?

Cada norma de la serie ISO 27001 está diseñada con un enfoque preciso: si desea crear la estructura de la seguridad de la información en su organización y definir su encuadre, debería usar la ISO 27001; si desea implementar controles, debería usar la ISO 27002; si desea realizar la evaluación y tratamiento de riesgos, debería usar la ISO 27005; etc.

Para finalizar, se podría decir que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar. Sin embargo, sin el marco de gestión de la ISO 27001, la ISO 27002 sería simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la información, sin la aceptación de la alta dirección y, por lo tanto, sin efectos reales sobre la organización.

Para aprender lo básico de ISO 27001, revise gratuitamente el ISO 27001 Foundations Online Course.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

ASESORÍA GRATUITA EN ISO 27001/22301
Dejan Kosutic
Especialista líder en ISO 27001/ISO 22301, Advisera

OBTENGA ASESORÍA GRATUITA

PRÓXIMO SEMINARIO WEB GRATUITO

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.