ISO/IEC 27001:Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información.
ISO/IEC 27002:Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
ISO/IEC 27003:Es una guía que se centra en los aspectos críticos necesarios para el diseño e
implementación con éxito de un SGSI de acuerdo ISO/IEC 27001.
ISO/IEC 27004:Es una guía para el desarrollo y utilización de métricas y técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001.
ISO/IEC 27005:No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de
la información.
ISO/IEC 27006:Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007:Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO
19011.
Definición
Es aquella que proporciona una visión general de
las normas que componen la serie 27000,
indicando para cada una de ellas su alcance de
actuación y el propósito de su publicación. Aporta
las bases de por qué es importante la implantación
de un SGSI, una introducción a los Sistemas de
Gestión de Seguridad de la Información, una breve
descripción de los pasos para el establecimiento,
monitorización, mantenimiento y mejora de un
SGSI.
Aplicación
Ciclo PDCA
1. Planificar (Plan): Se buscan las
actividades susceptibles de mejora y se
establecen los objetivos a alcanzar. Para
buscar posibles mejoras se pueden
realizar grupos de trabajo, escuchar las
opiniones de los trabajadores, buscar
nuevas tecnologías mejores a las que se
están usando ahora, etc. (ver
Herramientas de Planificación).
2. Hacer (Do): Se realizan los cambios
para implantar la mejora propuesta.
Generalmente conviene hacer una
prueba piloto para probar el
funcionamiento antes de realizar los
cambios a gran escala.
3. Controlar o Verificar (Check): Una
vez implantada la mejora, se deja un
periodo de prueba para verificar su
correcto funcionamiento. Si la mejora
no cumple las expectativas iniciales
habrá que modificarla para ajustarla
a los objetivos esperados. (ver
Herramientas de Control).
4. Actuar (Act): Por último, una vez finalizado
el periodo de prueba se deben estudiar los
resultados y compararlos con el
funcionamiento de las actividades antes de
haber sido implantada la mejora. Si los
resultados son satisfactorios se implantará la
mejora de forma definitiva, y si no lo son
habrá que decidir si realizar cambios para
ajustar los resultados o si desecharla. Una vez
terminado el paso 4, se debe volver al primer
paso periódicamente para estudiar nuevas
mejoras a implantar.