El primer concepto que debe quedar claro es que los tres elementos de la serie ISO 27000 que hemos mencionado no son excluyentes. Se diría que son complementarios, y que la adopción de uno no elimina la posibilidad o la necesidad de implementar los otros.
Hecha esta observación, abordemos cuál es el objetivo de cada uno de estos estándares, para finalmente entender la relación entre ellos y el GDPR.
ISO 27001
ISO 27001 es un estándar internacional que establece requisitos para la implementación de un sistema de gestión de seguridad de la información con un enfoque basado en el riesgo. Tiene alcance sobre las personas, los procesos, los activos de la información y la tecnología.
La certificación ISO 27001 ofrece a los clientes de la organización y a todas las partes interesadas la seguridad de que sus datos y su información se protegen de forma adecuada.
Esta norma tiene una estructura compatible con algunos de los estándares más populares de ISO, como ISO 9001, ISO 14001, e ISO 45001, lo que la hace fácilmente integrable con ellos. Además, dado lo específico del objetivo de la norma, esta incorpora un Anexo A, conformado por 114 controles de seguridad, que no son todos obligatorios para todas las organizaciones. Es aquí donde aparece el segundo componente de la serie ISO 27000.La serie #ISO27000 cuenta con 3 normas que ofrecen protección para la información, ¿cuáles son estas normas y cómo se relacionan?CLIC PARA TUITEAR
ISO 27002
ISO 27002 no es en la práctica un estándar o una norma de gestión. Más bien se trata de un conjunto de directrices y buenas prácticas que pretenden básicamente explicar y ayudar a comprender quiénes deben aplicar o no, y de qué manera, los controles de seguridad contenidos en el Anexo A de ISO 27001.
Por supuesto, la adopción o no de ISO 27002 no es un requisito formal de ISO 27001. Eso sí, sirve para apoyar la implementación y, sobre todo, para comprender los controles del Anexo A y su funcionamiento.
ISO 27701
Esta norma sirve para extender la gestión de la información que comienza ISO 27001. Si el anterior estándar tenía como propósito implementar un sistema de gestión de seguridad de la información, el objetivo de ISO 27701 es abordar la privacidad de esta.
Este estándar de seguridad, publicado en 2019, proporciona orientación a las organizaciones que buscan establecer sistemas que, además de sus objetivos primarios, aseguren el cumplimiento con GDPR y con otros requisitos de privacidad de datos que han entrado en vigor recientemente.
Por eso, ISO 27701 es conocido como un sistema PIMS – Sistema de Gestión de Información de Privacidad –, ya que describe un marco para los llamados Controladores de Información Personal y los Procesadores de Información Personal. Logra así reducir el riesgo para la privacidad de la información de las partes interesadas en un sistema de gestión de seguridad de la información.
La relación entre ISO 27001, ISO 27002 e ISO 27701
Desde el punto de vista normativo y de cumplimiento, y de acuerdo con lo que hemos expresado hasta este punto, las organizaciones que implementan ISO 27701, y que previamente han debido implementar ISO 27001, pueden estar seguras de que cumplen con el Reglamento Europeo de Protección de Datos.
Entonces, la relación entre las tres normas de la serie ISO 27000 es complementaria, pero no obligatoria. Aunque bien es cierto que en primera instancia ISO 27001 se vuelve necesaria, ya que las otras dos dependen de la implementación
de esta. Y solo la implementación de las tres garantiza el cumplimiento total con el GDPR.
Como vemos, el comienzo de este interesante conjunto de normas está en ISO 27001 y el conocimiento profundo de este estándar resulta fundamental.