ISO/IEC 27002 es una norma internacional que proporciona un conjunto de recomendaciones y mejores prácticas para implantar controles de seguridad de la información.
Ofrece un conjunto completo de recomendaciones y buenas prácticas para ayudar a organizaciones de todos los tamaños y sectores a :
- Identificar y evaluar sus riesgos seguridad de la información.
- Selección y aplicación de medidas de seguridad para hacer frente a estos riesgos.
- Establecer, aplicar, mantener y mejorar su sistema de gestión de la seguridad de la información (CMSI).
Su última versión es ISO/IEC 27002:2022publicado en febrero de 2022, que simplificó y reorganizó los controles en cuatro áreas principales (organizativa, relacionada con las personas, física y tecnológica) e introdujo nuevos atributos para facilitar su aplicación en un contexto moderno de ciberseguridad.
Para saber más
- Norma internacional : La norma ISO/IEC 27002 ha sido desarrollada y publicada conjuntamente por laOrganización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI). lo que significa que está reconocida y es aplicable en todo el mundo.
- Código de buenas prácticas : a diferencia de una norma de certificación comoISO 27001ISO 27002 es una guía y un recopilación de recomendaciones. No especifica los requisitos para la certificación, pero sí detalla los medidas de seguridad (o "controles") que las organizaciones pueden y deben aplicar para gestionar eficazmente sus riesgos de seguridad de la información. Sirve de referencia para el desarrollo y la implantación de un sistema de gestión de la seguridad de la información (SGSI).
- Seguridad de la información, ciberseguridad y privacidad : la norma cubre un amplio espectro de la seguridad, incluyendo no sólo la seguridad de la información en el sentido más amplio, sino también la ciberseguridad (protección de sistemas y redes digitales) y la protección de la intimidad (gestión de datos personales). La edición de 2022 hace aún más hincapié en la ciberseguridad y la privacidad, reflejando la evolución de las amenazas y preocupaciones actuales.
- Recomendaciones sobre medidas de seguridad de la información (Controles) : El núcleo de la norma ISO/IEC 27002 consiste en un conjunto dede medidas de seguridadtambién conocido como controles de seguridad. Estos controles son acciones o mecanismos que las organizaciones pueden poner en marcha para mitigar los riesgos relacionados con la seguridad de la información. Estos controles abarcan una amplia gama de ámbitos, desde las políticas de seguridad y la seguridad física hasta la seguridad de los sistemas de información y la gestión de incidentes.
Relación con ISO/IEC 27001
Es crucial comprender la relación entre ISO/IEC 27002 e ISO/IEC 27001.
- ISO/IEC 27001 es la norma que especifica los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Se trata de la norma certificable.
- ISO/IEC 27002 es un código de buenas prácticas que establece recomendaciones y directrices para aplicar controles de seguridad, mencionado y sugerido en el Anexo A de la norma ISO 27001. Detalles de ISO 27002 cómo aplicar controles para cumplir los requisitos de la norma ISO 27001.
En otras palabras, una organización que desee obtener la certificación ISO 27001 utilizará la norma ISO 27002 para guía seleccionar y aplicar las medidas de seguridad adecuadas. ISO 27002 es, por tanto, una herramienta esencial para la implantación de un SGSI conforme a la norma ISO 27001.
