Security Awareness según la ISO/IEC 27001:2013

Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito y en el Anexo A, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie.

Recordemos que la norma certificable de la familia 27000 es la ISO/IEC 27001:2013 (Information technology - Security techniques - Information security management systems - Requirements) y que ISO/IEC 27002:2013 (Information technology - Security techniques - Code of practice for information security management) es una guía de buenas prácticas, por lo que todo lo indicado en ella “no son requisitos” sino “sugerencias” para la implementación de los controles del Anexo A de la norma certificable.

El anexo A de ISO/IEC 27001 ofrece una lista bastante exhaustiva de controles que se toman como una especie de checklist en el 6.1.1 Tratamiento de Riesgos de Seguridad de la información, y su aplicabilidad dependerá de los riesgos a los que se halla expuesta la información, por lo que algunos controles pueden ser excluibles del alcance del SGSI (Sistema de Gestión de Seguridad de la Información) a través del SOA (Statement Of Aceptability).
Contenido completo en fuente original Smarfence

Suscríbete a nuestro Boletín