ISO/IEC 27009

ISO/IEC 27009 define los requisitos para el uso del estándar ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los del estándar ISO/IEC 27001, cómo refinar cualquiera de los requisitos de este y cómo incluir controles o conjuntos de control además de los del estándar ISO/IEC 27001.^[1]

Los estándares específicos del sector deben ser consistentes con los requisitos del sistema de gestión de seguridad de la información. Esta Norma Internacional proporciona a las entidades que producen normas específicas del sector requisitos sobre cómo agregar, refinar o interpretar los requisitos del estándar ISO/IEC 27001 y cómo agregar o modificar las pautas del estándar ISO/IEC 27002 para el uso específico del sector.

El estándar ISO/IEC 27009 asume que todos los requisitos del estándar ISO/IEC 27001 que no se refinan o interpretan, y todos los controles en el estándar ISO/IEC 27002 que no se modifican, se aplicarán en el contexto específico del sector sin cambios. Se ha criticado que la aportación concreta de este estándar es muy baja ya que es fácil simplemente aplicar esta idea de adaptar las recomendaciones generales a un sector específico sin necesidad de este estándar.^[2]

Estructura[editar]

El estándar ISO/IEC 27009 recoge los siguientes puntos:

Ámbito
Referencias normativas
Términos y definiciones
Descripción general de esta norma internacional
Requisitos del estándar ISO/IEC 27001 adicionales, refinados o interpretados
Guías del estándar ISO/IEC 27002 adicionales o modificadas
Plantilla para desarrollar estándares específicos del sector relacionados con los estándares ISO/IEC 27001: 2013 o ISO/IEC 27002: 2013

Definiciones[editar]

Las definiciones de este estándar son los incluidos en el ISO/IEC 27000, y además, añade dos definiciones adicionales:

Interpretación: explicación (en forma de requisito u orientación) de un requisito del estándar ISO/IEC 27001 en un contexto específico del sector que no invalida ninguno de los requisitos del estándar ISO/IEC 27001.
Refinamiento: Especificación del sector de un requisito del estándar ISO/IEC 27001 que no elimina ni invalida los requisitos del estándar ISO/IEC 27001.

Cláusulas de la norma[editar]

La norma está dividida en un conjunto de cláusulas que se pueden agrupar en los siguientes puntos:

Cláusula 5: Proporciona requisitos y orientación sobre cómo definir requisitos adicionales, refinamiento o interpretación de los requisitos del estándar ISO/IEC 27001.
Cláusula 6: Proporciona requisitos y orientación sobre cómo proporcionar objetivos de control, controles, guía de implementación u otra información que sea adicional o modifique el contenido del estándar ISO/IEC 27002.
Anexo A: Contiene una plantilla que debe usarse para los estándares específicos del sector relacionados con el ISO/IEC 27001 y/o el ISO/IEC 27002.

Referencias[editar]

↑ «Sitio web oficial del estándar ISO 27009». www.iso.org. Consultado el 28 de junio de 2020.
↑ «ISO/IEC 27009 infosec governance». www.iso27001security.com. Consultado el 28 de junio de 2020.

Datos: Q97120480

[1] «Sitio web oficial del estándar ISO 27009». www.iso.org. Consultado el 28 de junio de 2020.

[2] «ISO/IEC 27009 infosec governance». www.iso27001security.com. Consultado el 28 de junio de 2020.

[1]

[2]