Si estás preparando un sistema de gestión de seguridad de la información, probablemente hayas encontrado tanto la norma ISO 27001 como la ISO 27002.
Ambos son estándares de seguridad de la información creados por la Organización Internacional de Normalización que explican cómo crear un SGSI robusto. Ambos discuten los controles de seguridad que las organizaciones pueden implementar para proteger sus datos.
Entonces, ¿cuál es la diferencia entre los estándares ISO 27001 y 27002?
Aunque sus propósitos se superponen, cada uno tiene un enfoque diferente.
- ISO 27001 explica cómo las empresas pueden construir un SGSI conforme, desde definir el alcance de su sistema y desarrollar políticas hasta capacitar al personal.
- ISO 27002 se centra específicamente en los controles. Amplía la visión general del Anexo A de ISO 27001 para profundizar en el propósito, diseño e implementación de cada control.
Esa es la versión abreviada.
Pero hay mucha más complejidad en ISO 27001 vs 27002.
En esta publicación, cubriremos las diferencias esenciales y explicaremos cuándo usar cada estándar.
¿Qué es ISO 27001?
ISO 27001 es un marco de seguridad de la información. Detalla cómo establecer un sistema de gestión de seguridad de la información (SGSI) para alojar datos sensibles, incluyendo:
- Definición del alcance del SGSI
- Realización de un análisis de brechas
- Desarrollo de políticas y controles
- Creación de documentación
- Capacitación del personal
- Realización de auditorías internas
- Completar una auditoría de certificación
- Mantener la conformidad a través de auditorías de vigilancia y recertificación
Obtener la certificación ISO 27001 es una manera para que las empresas demuestren a los clientes que sus datos estarán seguros. Como estándar reconocido internacionalmente, ISO 27001 también es una manera para que las empresas ganen una ventaja competitiva y se expandan en los mercados globales.
¿Qué es ISO 27002?
ISO 27002 describe los controles específicos que las organizaciones pueden elegir implementar para construir un SGSI conforme.
La norma ISO 27001 incluye el Anexo A, que aborda brevemente los controles específicos de seguridad de la información que una empresa puede implementar para asegurar su SGSI.
Pero mientras el Anexo A cubre cada control en una o dos frases, ISO 27002 entra en mucho más detalle. Incluye el objetivo de cada control, cómo funciona y qué pueden hacer las empresas para implementarlo con éxito.
¿Cuál es la diferencia entre ISO 27001 e ISO 27002?
ISO 27001 es lo que se conoce como un estándar de gestión. Los estándares de gestión explican cómo operar un sistema, en el caso de ISO 27001, un sistema de gestión de seguridad de la información.
ISO 27002 no es un estándar de gestión. Es un conjunto de directrices y técnicas de seguridad.
Si bien puede completar una auditoría para obtener la certificación ISO 27001, no puede obtener una certificación ISO 27002.
También hay una gran diferencia en el nivel de detalle que cada estándar abarca.
Por ejemplo, el estándar ISO 27001 explica cómo implementar un SGSI: las responsabilidades de la gestión de la empresa, cómo establecer y medir objetivos, cómo llevar a cabo una auditoría interna y los controles que una empresa puede implementar.
Pero no entra en detalles minuciosos de cada control. ISO 27002 sí lo hace.
¿Qué estándar ISO debería usar y cuándo?
Cada estándar de la serie ISO 27000 tiene un propósito y enfoque específico.
Para ISO 27001, ese enfoque está en construir un SGSI. La implementación de controles específicos para ese SGSI es el enfoque de ISO 27002. ISO 27005 trata sobre la evaluación y gestión de riesgos. Y así sucesivamente.
Utilice los requisitos de ISO 27001 para guiar cómo diseñar y construir su SGSI para lograr el cumplimiento. Una vez que haya identificado los controles que va a implementar, utilice ISO 27002 como referencia para aprender los detalles específicos de cómo funciona cada uno.
Si está listo para comenzar el camino hacia la certificación ISO 27001, nuestra plataforma de automatización de cumplimiento puede simplificar todo el proceso de principio a fin. Le ayudaremos a construir un SGSI conforme, gestionar riesgos, cerrar brechas y estar 100% listo para la auditoría en tiempo récord.