RELACIONES Y DIFERENCIAS ENTRE LA NORMA ISO 27001 Y LA NORMA ISO 27002

Conectividad

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

Dentro de las diferencias más notables es que la norma ISO 27002 tiende a ser más detallada, así como tener mayor precisión en cada uno de sus ítems y anexos. Lo malo del caso es que la norma ISO 27002 no es una norma de  gestión, por lo tanto no es posible obtener la certificación respecto a dicho estándar [1].

Todo el sistema de gestión de la seguridad de la información, debe ser planeado, implementado, supervisado, revisado y mejorado. Significa que la gestión tiene sus responsabilidades, las cuales se deben establecer, medir y revisar objetivos, además de esto se deben hacer auditorías internas de forma periódica. Todos los elementos mencionados se  encuentran establecidos en 27001, y ausente en la norma ISO 27002 [1]

Los controles establecidos en ISO 27002 son nombrados de la misma manera en el anexo A de ISO 27001; dado un ejemplo de ello, en ISO  27002, el control 61.2 es denominado “Segregación de funciones”, mientras que en ISO 27001  es “A.6.1.2 Segregación de funciones “. Pero la diferencia se encuentra a nivel de detalle: Pues ISO 27002  lo explica en toda una página, mientras que en ISO 27001, solo lo dedica en una frase en cada control [1].

Como última instancia, la diferencia está en que ISO 27002 no tiene la capacidad de distinguir entre los controles aplicables a una organización determinada y los que no son aplicables, por otra parte, la norma ISO 27001 tiene como exigencia  la realización de evaluaciones de riesgos sobre  cada uno de los controles para poder identificar si es necesario reducir los riesgos, y si surge la necesidad de hacerlo, hasta qué punto se debe aplicar [1].

Las normas se crearon de forma separada, por la razón de que al crear una sola norma, sería demasiado compleja para entenderla, trayendo variedades de problemas a la hora de poderla entender e implementar dentro y fuera  de las organizaciones [1].

Cada estándar de la serie  ISO 27000, se diseñó con una precisión única: si se desea crear una estructura de  la seguridad de la  información en la organización, se debe recurrir a la norma ISO 27001;  si se quiere implementar controles, se debe  hacer uso de la norma ISO 27002; si se quiere hacer evaluaciones y tratamiento de riesgos, se debe recurrir a la norma ISO 27005 y así sucesivamente [1].

Como punto final se puede decir que sin la ayuda de la norma ISO 27002,  no es posible la implementación de los controles definidos en el  anexo A de la ISO 27001. Por otro lado, sin el marco de gestión de la ISO 27001,  la norma ISO   27002  se catalogaría como un esfuerzo inútil de unos pocos fanáticos por la seguridad de la información, siendo rechazados por las altas directivas y, por lo tanto no tendrían efecto alguno sobre la organización [1].

Fuentes

www.advisera.com

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.