ISO27002 – Tecnología de la Información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información
(OBLIGACIONES de las empresas, administraciones públicas y entidades).
Obligaciones generales del responsable y del encargado del tratamiento.
Las organizaciones deberían definir una “política de seguridad de la información” al máximo nivel que sea aprobada por la dirección y establezca el enfoque de la organización para gestionar sus objetivos de seguridad de la información.
La norma internacional ISO27002:2017, está diseñada para que las organizaciones la usen como referencia a la hora de seleccionar controles dentro del proceso de implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la Norma ISO/IEC 27001 o bien como documento guía para organizaciones que implanten controles de seguridad de la información comúnmente aceptados. Esta norma está pensada también para usarse en el desarrollo de directrices de gestión de la seguridad de la información en industrias y organizaciones específicas, teniendo en cuenta su(s) entorno(s) específico(s) de riesgo de seguridad de la información.
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa, se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.
ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI como activos de información si así se cree conveniente.
Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en día una importancia más que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la actividad de la empresa.
Contacto:
