Publicación de la ISO 27003:2017 con una socia de Ozona como editora · Ozona Consulting
2437
post-template-default,single,single-post,postid-2437,single-format-standard,,side_area_uncovered_from_content,qode-child-theme-ver-1.0.0,qode-theme-ver-10.1.2,wpb-js-composer js-comp-ver-5.4.7,vc_responsive
Ozona Consulting · ISO 20000, ISO 270001, ISO 22301 consultancy

Publicación de la ISO 27003:2017 con una socia de Ozona como editora

En marzo de 2017 se publicó la segunda edición de la norma ISO/IEC 27003:2017 “Information technology – Security techniques – Information security management system – Guidance”. Este documento tiene como propósito proporcionar ayuda y servir como guía para la implementación de un sistema de gestión de seguridad de la información basada en la ISO 27001:2013.

Jan Branzell y Raquel Porciúncula en las oficinas de Ozona en Lisboa

Jan Branzell y Raquel Porciúncula en las oficinas de Ozona en Lisboa

Totalmente alineada con la estructura de la ISO27001:2013, desde la cláusula 4  a la 10, esta guía de implementación sigue, para cada una de estas cláusulas, el mismo hilo conductor: 

  • Actividad requerida; 
  • Explicación;
  • Orientación;
  • Información adicional

 

El mayor desafío en la edición de esta norma han sido las clásulas referentes a la planificación (cláusula 6) y operación (cláusula 8) para los que surgieron constructivos debates y discusiones en torno al análisis de riesgos.

Dos de los editores de la ISO 27003, Jan Branzell y Raquel Porciúncula

Este trabajo contó con la participación de expertos internacionales de 75 paises, con reuniones presenciales en Francia, Corea, Hong Kong, México, Malasia, India, EEUU, Reino Unido y Dubai.

Con esta publicación culmina el intenso trabajo realizado en los últimos cinco años por el SC27 liderado por el equipo de editores de la ISO 27003, formado por Jan Branzell (Suecia), Raquel Porciúncula (Portugal, socia de Ozona Consulting) y Yukihiko Kitahara (Japón).

En estos momentos, donde la implantación del Reglamento General de Protección de Datos (RGPD) está en máximo auge, contar con unas directrices claras para implementar un sistema de gestión de la seguridad de la información (SGSI) es de gran ayuda. Debido a que:

  • Un SGSI da cobertura a la protección de datos personales, siempre que su implementación incluya los aspectos establecidos en el RGPD.
  • Muchos de los controles de seguridad definidos en el anexo A de la ISO/IEC 27001 y, por lo tanto, en la ISO 27002, pueden ser utilizados directamente. 
  • Muchos de los procesos del SGSI puede ser utilizados para los requisitos del RGPD, como los procesos de gestión de riesgos de seguridad de la información, auditoría, indicadores y medidas, incidencias y no conformidades.

 

De esta forma, un SGSI que incorpore los datos personales de acuerdo con el RGPD, debe gestionar la identificación y el proceso de riesgo, así como los controles de seguridad, sin existir la necesidad de crear nuevo procesos similares específicos para el RGPD.

En la semana del 18 al 25 de abril, tuvo lugar el último congreso plenario del SC27, en Nueva Zelanda, donde se agradeció y aplaudió el esfuerzo del equipo editorial de la ISO 27003.

El nuevo estándar, de 45 páginas, está disponible en la web de ISO y su índice e introducción se pueden consultar online.



X