Gestión de Seguridad de la Información

¿Qué es?

La norma ISO 27017 ofrece una guía complementaria a ISO 27002 para la implantación de controles de seguridad de la información para clientes y proveedores de servicios en la nube.

Por su parte ISO 27018 de Protección de la Información de Identificación Personal en Servicios Cloud amplía los requisitos de algunos de los controles del Anexo A de ISO 27001 y establece nuevos controles que deben ser tenidos en cuenta por los proveedores cloud en relación al procesamiento de datos personales.

¿A quién afecta?

Cualquier organización que ofrezca servicios en la nube, puede integrar el cumplimiento de estas normas en un Sistema de Gestión de Seguridad de la Información basado en ISO 27001.

En el caso de ISO 27017, esta puede ser implantada también por entidades consumidoras de servicios en la nube.

¿Para qué sirve?

Permite ampliar las garantías ofrecidas por un SGSI según ISO 27001 en relación a servicios prestados en la nube. Las compañías referentes en este tipo de servicios ya cuentan con dichas certificaciones.

¿Qué implicaciones tiene?

Integrar las normas en un Sistema de Gestión de Seguridad de la Información según ISO 27001 implica:

  • Identificar amenazas específicas para servicios en la nube y definir acciones para su tratamiento.
  • Cumplir con el Reglamento General de Protección de Datos y demás normativa aplicable en la materia.
  • Implantar controles de seguridad adicionales y específicos para servicios en la nube.
  • Ofrecer a los clientes una información clara sobre los niveles de protección de los servicios.

Las normas son certificables, pudiendo solicitar una certificación integrada con ISO 27001.

Ventajas de su aplicación

  • Mejorar la seguridad de la información en los servicios en la nube.
  • Aumento de la transparencia en las relaciones con clientes.
  • Garantizar el cumplimiento de la legislación vigente y las normas y regulaciones internacionales.
  • Mantener y mejorar la imagen corporativa.
  • Optimizar los recursos asignados a la seguridad de la información.