ISO/IEC 27003

ISO/IEC 27003 es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más información consultar ISO/IEC 27000). Este estándar se centra en los aspectos críticos necesarios para diseños e implementaciones exitosas de los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001:2015. Describe la especificación y diseño de un SGSI desde el origen hasta la realización del mismo y el proceso de obtención del visto bueno para la implementación de este. También define un proyecto para implementar el SGSI y proporciona una guía a partir de la cual planear dicho proyecto SGSI, lo que da lugar al plan de implementación del mismo. La norma ISO/IEC 27003 fue publicada el 1 de febrero de 2010, aunque fue actualizada el 12 de abril de 2017. Actualmente no es certificable.

ISO/IEC 27003:2017 es un documento general que está destinado a cualquier tipo de organización. No obstante, dicha organización deberá indicar que partes de la guía son aplicables a su contexto empresarial.

Estructura para implementar un SGSI

Fases para la planificación de un proyecto SGSI en referencia al ISO/IEC 27003

El proceso de planificación para la implementación final del SGSI consta de cinco fases y cada una de estas está representada por un capítulo independiente. Todos los capítulos tienen una estructura similar, las cinco fases son:

  • Obtener la aprobación gerencial para iniciar un proyecto SGSI.
  • Definir el alcance del SGSI y la política del SGSI.
  • Realizar un análisis de la organización.
  • Valorar los requisitos de seguridad para la información.
  • Riesgo y planificar el tratamiento del riesgo.
  • Diseñar el SGSI.

Véase también

Enlaces externos