ISO/IEC 27001

ISO/IEC 27001 és una norma internacional per gestionar la seguretat de la informació. L'estàndard va ser publicat originalment conjuntament per l'Organització Internacional per a l'Estandardització (ISO) i la Comissió Electrotècnica Internacional (IEC) el 2005, ^[1] revisat el 2013, ^[2] i més recentment el 2022. ^[3] També hi ha nombroses variants nacionals reconegudes de l'estàndard. Detalla els requisits per establir, implementar, mantenir i millorar contínuament un sistema de gestió de la seguretat de la informació (SGSI), l'objectiu del qual és ajudar les organitzacions a fer que els actius d'informació que tenen més segurs. ^[4] Les organitzacions que compleixen els requisits de l'estàndard poden optar per ser certificades per un organisme de certificació acreditat després de completar amb èxit una auditoria. El 2020 es va realitzar una anàlisi DAFO del procés de certificació ISO/IEC 27001. ^[5]

Com funciona l'estàndard

La majoria de les organitzacions tenen una sèrie de controls de seguretat de la informació. Tanmateix, sense un sistema de gestió de la seguretat de la informació (SGSI), els controls tendeixen a estar una mica desorganitzats i desarticulats, ja que s'han implementat sovint com a solucions puntuals a situacions específiques o simplement com a qüestió de convenció. Els controls de seguretat en funcionament solen abordar determinats aspectes de la tecnologia de la informació (TI) o la seguretat de les dades específicament; deixant els actius d'informació no informàtics (com ara paperassa i coneixements propietaris) menys protegits en general. A més, la planificació de la continuïtat del negoci i la seguretat física es poden gestionar de manera bastant independent de la seguretat informàtica o de la informació, mentre que les pràctiques de Recursos Humans poden fer poca referència a la necessitat de definir i assignar funcions i responsabilitats de seguretat de la informació a tota l'organització.

ISO/IEC 27001 requereix que la gestió:

Examinar sistemàticament els riscos de seguretat de la informació de l'organització, tenint en compte les amenaces, vulnerabilitats i impactes;
Dissenyar i implementar un conjunt coherent i complet de controls de seguretat de la informació i/o altres formes de tractament de riscos (com ara evitar o transferir riscos) per abordar aquells riscos que es consideren inacceptables; i
Adoptar un procés de gestió global per garantir que els controls de seguretat de la informació continuen satisfent les necessitats de seguretat de la informació de l'organització de manera continuada.

Els controls que es provaran com a part de la certificació ISO/IEC 27001 depenen de l'auditor de certificació. Això pot incloure qualsevol control que l'organització hagi considerat dins de l'abast del SGSI i aquesta prova pot ser a qualsevol profunditat o mesura segons l'avalua l'auditor segons sigui necessari per comprovar que el control s'ha implementat i funciona de manera eficaç.

La direcció determina l'abast del SGSI a efectes de certificació i pot limitar-lo, per exemple, a una única unitat de negoci o ubicació. El certificat ISO/IEC 27001 no significa necessàriament que la resta de l'organització, fora de l'àrea d'abast, tingui un enfocament adequat a la gestió de la seguretat de la informació.

Altres estàndards de la família d'estàndards ISO/IEC 27000 proporcionen orientació addicional sobre certs aspectes del disseny, implementació i funcionament d'un ISMS, per exemple, sobre la gestió del risc de seguretat de la informació (ISO/IEC 27005).

Història de la ISO/IEC 27001

BS 7799 va ser un estàndard publicat originalment per BSI Group ^[6] el 1995. Va ser escrit pel Departament de Comerç i Indústria (DTI) del govern del Regne Unit i constava de diverses parts.

La primera part, que conté les millors pràctiques per a la gestió de la seguretat de la informació, es va revisar l'any 1998; després d'una llarga discussió en els organismes d'estàndards mundials, finalment va ser adoptat per ISO com a ISO/IEC 17799, "Tecnologia de la informació - Codi de pràctiques per a la gestió de la seguretat de la informació". l'any 2000. La ISO/IEC 17799 es va revisar el juny de 2005 i finalment es va incorporar a la sèrie d'estàndards ISO 27000 com a ISO/IEC 27002 el juliol de 2007.

La segona part de BS7799 va ser publicada per primera vegada per BSI l'any 1999, coneguda com a BS 7799 Part 2, titulada "Sistemes de gestió de seguretat de la informació - Especificació amb orientació per al seu ús". La BS 7799-2 es va centrar en com implementar un sistema de gestió de la seguretat de la informació (ISMS), fent referència a l'estructura de gestió de la seguretat de la informació i els controls identificats a la BS 7799-2. Més tard, es va convertir en ISO/IEC 27001:2005. La BS 7799 Part 2 va ser adoptada per ISO com a ISO/IEC 27001 el novembre de 2005.

BS 7799 Part 3 es va publicar el 2005, que cobreix l'anàlisi i la gestió de riscos. S'alinea amb la norma ISO/IEC 27001:2005.

Es fa molt poca referència o ús a qualsevol dels estàndards BS en relació amb ISO/IEC 27001.

Principis clau de la ISO/IEC 27001

La base de la ISO/IEC 27001 es basa en diversos principis clau:

La norma ISO/IEC 27001 posa l'accent en la importància d'identificar i avaluar els riscos de seguretat de la informació. Les organitzacions han d'implementar processos de gestió de riscos per identificar amenaces potencials, avaluar-ne l'impacte i desenvolupar estratègies de mitigació adequades.

L'última revisió de l'estàndard ISO/IEC 27001:2022 descriu un conjunt complet de controls de seguretat a l'annex A, classificats en 4 dominis. Aquests controls aborden diversos aspectes de la seguretat de la informació, com ara el control d'accés, la criptografia, la seguretat física i la gestió d'incidències.

ISO/IEC 27001 promou una cultura de millora contínua en les pràctiques de seguretat de la informació. El seguiment periòdic, l'avaluació del rendiment i les revisions periòdiques ajuden les organitzacions a adaptar-se a les amenaces en evolució i a millorar l'eficàcia de la seva ISMS.

Referències

↑ «ISO/IEC 27001 International Information Security Standard published» (en anglès). bsigroup.com. BSI. [Consulta: 21 agost 2020].
↑ Bird, Katie. «NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS» (en anglès). ISO, 14-08-2013. [Consulta: 21 agost 2020].
↑ ISO/IEC. «ISO/IEC 27001:2022» (en anglès). ISO.org. [Consulta: 29 novembre 2022].
↑ «ISO/IEC 27001:2013» (en anglès). ISO. [Consulta: 9 juliol 2020].
↑ Akinyemi, Iretioluwa; Schatz, Daniel; Bashroush, Rabih (en anglès) International Journal of Services Operations and Informatics, 10, 4, 2020, pàg. 305. DOI: 10.1504/ijsoi.2020.111297. ISSN: 1741-539X.
↑ «Facts and figures» (en anglès). bsigroup.com. Arxivat de l'original el 20 October 2012. [Consulta: 10 gener 2018].

[1] «ISO/IEC 27001 International Information Security Standard published» (en anglès). bsigroup.com. BSI. [Consulta: 21 agost 2020].

[2] Bird, Katie. «NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS» (en anglès). ISO, 14-08-2013. [Consulta: 21 agost 2020].

[3] ISO/IEC. «ISO/IEC 27001:2022» (en anglès). ISO.org. [Consulta: 29 novembre 2022].

[4] «ISO/IEC 27001:2013» (en anglès). ISO. [Consulta: 9 juliol 2020].

[5] Akinyemi, Iretioluwa; Schatz, Daniel; Bashroush, Rabih (en anglès) International Journal of Services Operations and Informatics, 10, 4, 2020, pàg. 305. DOI: 10.1504/ijsoi.2020.111297. ISSN: 1741-539X.

[6] «Facts and figures» (en anglès). bsigroup.com. Arxivat de l'original el 20 October 2012. [Consulta: 10 gener 2018].

[1]

[2]

[3]

[4]

[5]

[6]