Estándar 27000:2014 - Panorama y vocabulario

Abarca tanto una presentación general panorámica de la familia 27k como el vocabulario empleado en la familia.

Lamentablemente suele "saltarse" por los "practicioners" que van directamente al estándar de requisitos - 27001.

Es accesible libre de coste desde la web de ISO: descarga inmediata.

Panorámica

La visión panorámica es interesante y enriquecedora, describiendo tanto lo que es un sistema de gestión de seguridad de la información, sus elementos y actividades principales así como los diversos estándares de la familia. Una buena (y barata) introducción, que debiera ser el primer contacto con la familia 27k para aquellos que se acerquen a ella por primera vez. Adolece de fallos de "costuras", ya que por ejemplo describe la creación del inventario de activos cuanto el 27001 ya no lo requiere.

Vocabulario

Incluye las definiciones de los términos empleados. Este estandar se vuelve esencial, ya que las diversas ediciones de estándares de la familia lanzadas desde 2013 ya no incluyen vocabulario, unificado en el 27000 a fin de uniformizar la terminología.

Las diversas versiones anteriores han sido deficitarias, y esta dista aún de representar un estado maduro, ya que incluye términos que sobran y no estan presentes términos que se emplean, y otros presentan definiciones mejorables. Incluye un interesante Anexo B que identifica que estándar es el que marca el uso principal del término.

Incluye entre otros los términos relativos a gestión de riesgo definidos (algunos polémicos) en la Guía ISO 73:2009 - Vocabulario de gestión de riesgo y en el estándar ISO 31000:2009 - Gestión de riesgo. Se incluye por vez primera el término "risk owner".

Es novedosa en la edición la inclusión/actualización de los términos asociados al anexo SL de "ISO/IEC Directives Part 1 and Consolidated ISO Supplement". El Anexo SL es accesible libre de coste dede la web de ISO: descarga inmediata

El Anexo SL forma la base común obligatoria de todos los estándares de sistemas de gestión ISO, que implica que todos ellos tengan la misma estructura, el mismo nucleo de requisitos y texto común. Contiene 45 "debes" que generan 84 requisitos, y 22 términos. Algunos de ellos, incluidos, son:

  • "Management System", sorprendentemente muy usado y no bien definido en los diversos estándares ISO
  • "Documented Information", como referencia a documentos controlados del sistema y de otros procesos de la organización y a los registros.
  • "Interested Party" y "Stakeholder"
  • "Executive Management", que se refiere a personas con responsabilidades delegadas por el órgano de gobernanza de la organización.
  • "Top Management", que se refiere a personas que dirijen y controlan la organización.
  • "Objetivo", resultado a ser alcanzado

Desaparecen sorprendentemente las definiciones de "management" y "statement of applicability" (ya que su uso permanece); la de "asset" (que si bien no forma parte de ningún requisito continua asomando aquí y allá); tambien desaparece "third parties" pero esto es coherente con la desaparición explicita de requisitos sobre otros.

En resumen, aún con sus desajustes, recomendado.

REFERENCIAS

Varias de mis valoraciones coinciden con planteadas por iso27001security.com aquí.


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 19 Feb 2014 11:01


Mis actividades y novedades: visita mi blog

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License