Página web
Volver a la descripción general

ISO 27001

ISO 27001 es el estándar internacional líder para la implantación y operación de un sistema de gestión de seguridad de la información (SGSI). La norma define los requisitos sobre cómo las organizaciones deben identificar, evaluar y tratar sistemáticamente sus riesgos de seguridad de la información mediante medidas adecuadas. La versión actual ISO/IEC 27001:2022 fue publicada en Alemania como DIN EN ISO/IEC 27001:2024-01 y constituye la base para una certificación internacionalmente reconocida por organismos de evaluación acreditados.

El núcleo estructural de ISO 27001 es el ciclo Plan-Do-Check-Act. Las organizaciones definen primero el ámbito de aplicación de su SGSI y establecen una política de seguridad de la información. A continuación se realiza un análisis de riesgos sistemático del que se derivan e implementan medidas concretas. Las auditorías internas periódicas y las revisiones de la dirección garantizan que el SGSI siga siendo eficaz y se mejore continuamente. A diferencia del BSI IT-Grundschutz, que prescribe módulos y medidas concretas, ISO 27001 otorga a las organizaciones mayor margen en la selección de medidas de seguridad adecuadas y resulta por ello especialmente apropiado para empresas con orientación internacional.

Para empresas y organismos públicos en Alemania, ISO 27001 cobra relevancia en varios contextos. Los clientes y organismos contratantes públicos exigen cada vez más la certificación como prueba de un nivel de seguridad adecuado. Al mismo tiempo, una certificación ISO 27001 existente ayuda a demostrar de forma estructurada muchos requisitos de la Directiva NIS2, ya que ambos marcos se basan en los mismos principios fundamentales de gestión de riesgos. Para los operadores de infraestructuras críticas y organismos públicos que trabajan con BSI IT-Grundschutz, ISO 27001 ofrece además un complemento internacionalmente compatible.

La ventaja esencial de una certificación ISO 27001 reside en la confirmación externa de un SGSI funcional. Mientras que los conceptos de seguridad desarrollados internamente son difícilmente comparables, la certificación por parte de un organismo de evaluación independiente crea una señal objetivamente verificable hacia el exterior. Esto refuerza la confianza de clientes y socios y facilita la participación en licitaciones en las que un SGSI certificado es requisito previo.

ISO 27001 establece el marco organizativo dentro del cual actúan las medidas técnicas. Cómo pueden implementarse los requisitos del estándar en materia de seguridad de dispositivos finales en una infraestructura de TI conforme con el RGPD queda ilustrado con un vistazo a las posibilidades correspondientes.