ISO/IEC 27003

ISO/IEC 27003 es parte de la familia de estándares ISO/IEC 27000, conocida por proporcionar recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información dentro de una organización. Específicamente, ISO/IEC 27003 se enfoca en las directrices para implementar un sistema de gestión de seguridad de la información (ISMS) según lo establecido en ISO/IEC 27001, proporcionando detalles adicionales para ayudar en el proceso de diseño e implementación.

Solicite una demostración de Secureframe Custom Frameworks

Definición y propósito

El propósito principal de ISO/IEC 27003 es ofrecer orientación y apoyo para los requisitos especificados en ISO/IEC 27001, ayudando a las organizaciones a interpretar e implementar el estándar de manera efectiva. Incluye los procesos necesarios para planificar, implementar, mantener y mejorar continuamente un ISMS.

Organismo de gobierno

El estándar es desarrollado y mantenido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Última actualización

ISO/IEC 27003 se publicó inicialmente en 2010. El estándar se revisa cada 5 años y fue revisado en 2017. Actualmente está bajo revisión.

Aplicable a

ISO/IEC 27003 se aplica a cualquier organización, independientemente de su tipo o tamaño, que desee implementar un ISMS de acuerdo con ISO/IEC 27001. Es relevante en varias industrias, incluidas pero no limitadas a finanzas, salud, sectores públicos y de TI.

Controles y requisitos

Si bien ISO/IEC 27003 no introduce nuevos controles, amplía la orientación de implementación para los controles enumerados en ISO/IEC 27001. Los requisitos que elucida incluyen:

Contexto de la organización: comprender cuestiones internas y externas, partes interesadas y el alcance del ISMS.
Liderazgo y compromiso: la participación y responsabilidad de la alta dirección en el ISMS.
Planificación: abordar riesgos y oportunidades, y establecer objetivos de seguridad de la información.
Apoyo: recursos necesarios para el ISMS, competencia, conciencia, comunicación y gestión de la información documentada.
Operación: planificación, implementación y control de procesos necesarios para cumplir con los requisitos de seguridad de la información.
Evaluación del desempeño: monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la gestión del ISMS.
Mejora: mejora continua del ISMS a través de acciones correctivas.

Por favor, consulte la documentación oficial de ISO/IEC 27003:2017 para obtener detalles sobre controles y requisitos.

Tipo, frecuencia y duración de la auditoría

El tipo de auditoría para ISO/IEC 27003 generalmente sería una evaluación de conformidad o una auditoría interna/externa para determinar qué tan bien se alinea la implementación del SGSI con las recomendaciones del estándar. Las auditorías se realizan generalmente de manera anual, o según sea necesario, para garantizar una mejora continua y el mantenimiento del SGSI.

La duración de una auditoría puede variar según el tamaño, la complejidad de la organización y la madurez del SGSI.

Cumplir con las normativas utilizando los marcos personalizados de Secureframe

Solicitar una demo

Producto

Gestión de Riesgos

Revisiones de Seguridad de Proveedores

Frameworks Soportados

Soluciones

Principales Frameworks

Tipos de Socios

Programa de Socios

Recursos de Seguridad y Cumplimiento

Recursos del Marco

Recursos para Clientes

Empresa