ISO 27001 e ISO 20000

Seguridad y Tecnología de la Información

ISO 27001

Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un sistema de gestión de seguridad de la información. Le ayuda a identificar los riesgos para su información importante y pone en su lugar los controles apropiados para ayudarle a reducir el riesgo.

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.

De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.

ISO 27001 le ayudará a proteger su información en términos de:

  • Asegurar la confidencialidad, que la información está accesible solo para aquellas personas autorizadas a tener acceso.
  • Proteger la integridad de la precisión y totalidad de la información y los métodos de tratamiento.
  • Garantizar la disponibilidad, que los usuarios autorizados tengan acceso a la información y los activos relacionados cuando lo necesitan

ISO 20000

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, telecomunicaciones, finanzas y el sector público.

La ISO/IEC 20000 está dividida en las siguientes secciones que definen los requisitos que debe cumplir una organización, la cual proporciona servicios a sus clientes con un nivel aceptable de calidad:

  • Requisitos para la gestión de un sistema.
  • Implantación y planificación de Gestión de Servicios.
  • Planificación e implantación de servicios nuevos o modificados.
  • Procesos del servicio de entrega.
  • Procesos relacionales.
  • Procesos de control.
  • Procesos de emisión.

Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar un servicio de calidad de TI coherente y a un costo efectivo.

En Advanced Learning Center le ayudamos a implementar ISO 27001 o ISO 20000 y realizamos un análisis de diagnóstico inicial y final para garantizar su Certificación.


* Estos campos son obligatorios.