Diferencias : 27001 - 27002

Solo disponible en BuenasTareas
  • Páginas : 2 (428 palabras )
  • Descarga(s) : 0
  • Publicado : 26 de abril de 2011
Leer documento completo
Vista previa del texto
En muchos casos, tanto entre los profanos como entre los entendidos, es habitual escuchar hablar de ISO 27001 e ISO 27002 (ex-ISO 17799) como de dos normas equivalentes. En el primer caso no meparece grave, y es incluso previsible, pero creo que las personas más expertas deberían hablar con más propiedad, sobre todo teniendo en cuenta los problemas que puede ocasionar la confusión de ambasnormas. Porque, aunque puede que alguien se escandalice al oirlo, ambas normas son MUY distintas.

Cuando hablo de las diferencias entre ellas no me refiero sencillamente al hecho de que una (27002) seaun código de buenas prácticas y la otra (27001) una especificación, sino a la filosofía y alcance que tienen una y otra.

La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puedehacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, Los objetivos de seguridad a perseguir, una serie deconsideraciones(controles) a tener en cuanta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorizaciónentre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión.

Por su parte, y no nos olvidemos de ello, la ISO 27001 habla delos controles de forma residual. El núcleo de la norma anterior queda reducido a un listado de objetivos de control y controles incluidos en un anexo (normativo, pero anexo). No aparecen en el cuerpode la norma, porque en absoluto son la parte más importante. Porque lo que importa en esta norma es la gestión de la seguridad, en forma de SISTEMA DE GESTIÓN. Desde mi punto de vista, los controlesforman parte del anexo más por "compasión" que por necesidad. Lo que importa en la ISO 27001 es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre...
tracking img