¿Qué es la gestión de seguridad de la información ISO 27001?
ISO 27001 es una especificación para un Sistema de gestión de seguridad de la información/ Information Security Management System (ISMS), un marco de políticas, procedimientos y controles involucrados en los procesos de gestión de riesgos de la información de una empresa. Este marco fue publicado por la Organización Internacional de Estándares (ISO).
¿A quién se aplica la ISO 27001?
ISO 27001 es un marco para implementar un ISMS, por lo tanto, generalmente no es un requisito que deba seguirse. Algunas empresas requieren que sus proveedores estén certificados en ISO 27001 para garantizar que el proveedor haya implementado políticas, procedimientos y controles adecuados para administrar la seguridad de la información. Muchas empresas utilizan ISO27000 como marco para implementar buenas prácticas de ISMS sin siquiera planear obtener la certificación. Cabe recalcar que, únicamente los organismos de certificación acreditados pueden autorizar la obtención de la ISO27001.
¿Qué pasa con los otros documentos ISO 2700x?
La familia ISO 27000 consta de muchos documentos, cada uno con un propósito específico. La ISO 27001 tiene un enfoque organizacional que detalla los requisitos según los cuales se puede auditar un ISMS. ISO 27002 proporciona una lista mucho más concreta de objetivos de control y controles a implementar. Entonces, cuando miramos para ver lo que dice ISO 27000 sobre la clasificación de datos, queremos mirar el documento ISO 27002.
¿Qué dice la norma ISO 27002 sobre la clasificación de datos?
En A.8 Gestión de Activos, el objetivo de control A.8.1 La clasificación de la información tiene el siguiente objetivo: "Asegurar que la información tenga un nivel de protección suficiente dependiendo de su valor para la Organización". Para asegurar este objetivo, el control 8.1.1 alude a la Clasificación de la información.
¿En qué otro lugar de la norma ISO 27002 se menciona la clasificación de datos?
No se menciona directamente en ningún otro lugar, pero afecta a algunos otros controles como:
A.8.2.2 Etiquetado de la información: Para etiquetar el nivel de confidencialidad de la documentación, primero debe haber realizado una clasificación de datos.
A.9.1.1 Política de control de acceso: ¿Cuál es la política de acceso a la información basada en el nivel de clasificación? Si restringe el acceso a documentos confidenciales, se debe haber clasificado los documentos primero.
A.9.4.1 Limitación del acceso a la información: según la política de A.9.1.1, usted restringe el acceso a los datos según su nivel de confidencialidad, lo que requiere que primero haya clasificado los documentos.
A.10.1.1 Política para el uso de controles criptográficos: si va a utilizar cifrado para proteger la confidencialidad de la información, primero debe haber clasificado la información. De lo contrario, cifraría todo o nada porque no sabe qué documentos son confidenciales y necesarios para proteger.
A.16.1.2 Notificación de incidentes de seguridad de la información: debe informar cualquier incumplimiento de la confidencialidad, integridad o disponibilidad de la información. Esto es más fácil de hacer cuando ya se ha realizado la clasificación de datos.
Resumen: Para tener un buen ISMS, se debe Clasificar la información; de lo contrario, fallará en el dominio 8 Asset Management y tendrá comentarios sobre varias otras partes.