El conocimiento es uno de los valores más importantes de una organización para garantizar la continuidad del negocio. En el caso de que se pierdan muchos activos, la información perdida no tiene equivalente monetario. Por esta razón, en las condiciones cambiantes y en desarrollo de hoy, la importancia de la información y la necesidad de protección está aumentando gradualmente. información; Puede ser usado y almacenado en escritura, medios electrónicos, verbales, memoria de empleados y muchos otros formatos. Debido a los avances tecnológicos, muchas de estas formas de uso pueden o no cambiar con el tiempo. Debido a este cambio y desarrollo, la seguridad de la información debe ser constantemente cuestionada y controlada. La seguridad de la información es la protección de la confidencialidad, integridad y facilidad de uso de la información.
El Sistema de gestión de seguridad de la información ISO 27001 es un sistema de gestión que incluye personas, procesos y sistemas de información en la provisión de seguridad de información corporativa y está respaldado por la alta gerencia. Está diseñado para proteger los activos de información y proporcionar controles de seguridad adecuados y proporcionados que brinden confianza a las partes interesadas. El sistema de gestión de seguridad de la información ISO 27001 incluye estructura corporativa, políticas, actividades de planificación, responsabilidades, aplicaciones, procedimientos, procesos y recursos. Los cimientos de los estándares del sistema de gestión de seguridad de la información ISO 27001 e ISO 27002 se basan en el estándar BS 7799. BS 7799 BSI (British Standards Institution) se publicó en 1995 y consta de dos partes. La primera parte, BS 7799-1, incluyó las mejores prácticas para la gestión de la seguridad de la información. En 2000, esta norma fue adoptada por ISO y publicada como ISO 17799 Tecnología de la información - Principios de aplicación para la gestión de la seguridad de la información. ISO 17799 2007 se incorporó a la serie ISO 27000 como ISO 27002. La segunda parte fue lanzada por BSI en 7799 con el nombre BS 2 1999 Requisitos de sistema de administración de seguridad de la información. Este estándar se centró en cómo establecer SGSI. En 2005, fue publicado por ISO con el nombre de ISO 27001 Information Security Management System Requirements. ISO 27001 y las revisiones más recientes de los estándares 27002 se publicaron en 25.09.2013.
ISO / CEI 27001: 2013 define los requisitos para la instalación, implementación, ejecución y mejora continua de un sistema de gestión de seguridad de la información dentro del alcance de la organización. También incluye requisitos para la evaluación y mejora de los riesgos de seguridad de la información asociados con las necesidades de la organización. ISO / CEI 27001: Los requisitos dados en 2013 son generales y pretenden ser aplicables a todos, independientemente del tipo, tamaño y naturaleza de las organizaciones. ISO 27001 requiere que las organizaciones preparen planes de gestión de riesgos y de procesamiento de riesgos, tareas y responsabilidades, planes de continuidad de negocios, procedimientos de gestión de incidentes de emergencia y mantengan registros de ellos en la práctica. La Autoridad debe emitir una política de seguridad de la información que incluya todas estas actividades y aumentar la conciencia de su personal sobre la seguridad y las amenazas de la información. La gestión de la seguridad de la información solo se puede lograr con el apoyo activo de la administración y la participación del personal como un proceso en el que se miden los objetivos de control seleccionados y se supervisa continuamente el cumplimiento y el rendimiento de los controles.
