Toda la información guardada y procesada por una organización está sujeta a los riesgos de ataque, error y desastres naturales, y otras vulnerabilidades inherentes a su uso. Por lo tanto, la seguridad de la información está en el núcleo de todas las actividades de una organización y se centra en la información que es considerada un valioso "activo" que requiere una protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad.
La familia de normas sobre sistemas de gestión de seguridad de la información (SGSI) permite a las organizaciones desarrollar e implementar un marco sólido para la gestión de la seguridad de sus activos de información, incluyendo datos financieros, propiedad intelectual, detalles de los empleados, e información confiada por los clientes o terceras partes.
La recientemente revisada ISO/IEC 27000:2016, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Información general y vocabulario, es una visión global de los sistemas de gestión de seguridad de información cubiertos por la familia de normas de SGSI, y define los términos y definiciones relacionados. "Cada lenguaje común requiere de un conjunto común de terminología, y esto es proporcionado por la norma ISO/IEC 27000", dice el profesor Edward Humphreys, Coordinador del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 que ha desarrollado la norma.
Protejer sus activos de información a través de la definición, archivo, mantenimiento y mejora de los niveles de seguridad es esecial para una organización para conseguir sus objetivos y fortalecer su cumplimiento legal e imagen. Las actividades coordinadas necesarias para dirigir la implementación de controles adecuados y mitigar los riesgos de seguridad de la información inaceptables son parte de lo que se conoce como gestión de seguridad de la información.
ISO/IEC 27000 proporciona una descripción de alto nivel de la familia SGSI de las normas (ISO/IEC 27001), cómo apoyan a la aplicación de los requisitos contenidos en la norma ISO/IEC 27001, Tecnología de la información - Técnicas de seguridad - Información de sistemas de gestión de seguridad - Requisitos, y cómo se relacionan entre sí. Elzbieta Andrukiewicz, la editora de la norma ISO/IEC 27000, explica: "ISO/IEC 27000 proporciona una muy breve introducción al área de seguridad de la información y gestión de sistemas de seguridad de la información, describiendo cómo implementar, operar, mantener y mejorar el SGSI".
La norma establece los factores clave de una implementación exitosa y los numerosos beneficios del uso de la familia de normas de SGSI. Proporciona una comprensión de cómo la familia ISO/IEC 27001 encaja a través de su enfoque multifacético, aclarando los alcances de las normas, roles, funciones y relaciones entre ellas. Además, la norma ISO/IEC 27000 reúne en un solo lugar toda la terminología esencial utilizada en la familia ISO/IEC 27001.
ISO/IEC 27000:2016 revisa la edición de 2014; se ha actualizado y ampliado para alinearse con la versión revisada de la norma ISO/IEC 27001 y otros estándares de la familia que se encuentran actualmente bajo revisión.
Fuente:iso.org