ISO/IEC 27001

ISO/IEC 27001 és una norma internacional per gestionar la seguretat de la informació. L'estàndard va ser publicat per primer cop conjuntament per l'Organització Internacional per a l'Estandardització (ISO) i la Comissió Electrotècnica Internacional (IEC) el 2005,^[1] revisat el 2013,^[2] i més recentment el 2022.^[3] També hi ha nombroses variants nacionals reconegudes de l'estàndard. Detalla els requisits per establir, implementar, mantenir i millorar contínuament un sistema de gestió de la seguretat de la informació (SGSI), l'objectiu del qual és ajudar les organitzacions a fer que els actius d'informació que tenen més segurs.^[4] Les organitzacions que compleixen els requisits de l'estàndard poden optar per ser certificades per un organisme de certificació acreditat després de completar amb èxit una auditoria. El 2020 es va realitzar una anàlisi DAFO del procés de certificació ISO/IEC 27001.^[5]

Com funciona l'estàndard

La majoria de les organitzacions tenen una sèrie de controls de seguretat de la informació. Tanmateix, sense un sistema de gestió de la seguretat de la informació (SGSI), els controls tendeixen a estar una mica desorganitzats i desarticulats, ja que s'han implementat sovint com a solucions puntuals a situacions específiques o simplement com a qüestió de convenció. Els controls de seguretat en funcionament solen abordar determinats aspectes de la tecnologia de la informació (TI) o la seguretat de les dades específicament; deixant els actius d'informació no informàtics (com ara paperassa i coneixements propietaris) menys protegits en general. A més, la planificació de la continuïtat del negoci i la seguretat física es poden gestionar de manera bastant independent de la seguretat informàtica o de la informació, mentre que les pràctiques de Recursos Humans poden fer poca referència a la necessitat de definir i assignar funcions i responsabilitats de seguretat de la informació a tota l'organització.

ISO/IEC 27001 requereix que la gestió:

Examinar sistemàticament els riscos de seguretat de la informació de l'organització, tenint en compte les amenaces, vulnerabilitats i impactes;
Dissenyar i implementar un conjunt coherent i complet de controls de seguretat de la informació i/o altres formes de tractament de riscos (com ara evitar o transferir riscos) per abordar aquells riscos que es consideren inacceptables; i
Adoptar un procés de gestió global per garantir que els controls de seguretat de la informació continuen satisfent les necessitats de seguretat de la informació de l'organització de manera continuada.

Els controls que es provaran com a part de la certificació ISO/IEC 27001 depenen de l'auditor de certificació. Això pot incloure qualsevol control que l'organització hagi considerat dins de l'abast del SGSI i aquesta prova pot ser a qualsevol profunditat o mesura segons l'avalua l'auditor segons sigui necessari per comprovar que el control s'ha implementat i funciona de manera eficaç.

La direcció determina l'abast del SGSI a efectes de certificació i pot limitar-lo, per exemple, a una única unitat de negoci o ubicació. El certificat ISO/IEC 27001 no significa necessàriament que la resta de l'organització, fora de l'àrea d'abast, tingui un enfocament adequat a la gestió de la seguretat de la informació.

Altres estàndards de la família d'estàndards ISO/IEC 27000 proporcionen orientació addicional sobre certs aspectes del disseny, implementació i funcionament d'un ISMS, per exemple, sobre la gestió del risc de seguretat de la informació (ISO/IEC 27005).

Història de la ISO/IEC 27001

BS 7799 va ser un estàndard publicat per primer cop per BSI Group^[6] el 1995. Va ser escrit pel Departament de Comerç i Indústria (DTI) del govern del Regne Unit i constava de diverses parts.

La primera part, que conté les millors pràctiques per a la gestió de la seguretat de la informació, es va revisar l'any 1998; després d'una llarga discussió en els organismes d'estàndards mundials, finalment va ser adoptat per ISO com a ISO/IEC 17799, "Tecnologia de la informació - Codi de pràctiques per a la gestió de la seguretat de la informació". l'any 2000. La ISO/IEC 17799 es va revisar el juny de 2005 i finalment es va incorporar a la sèrie d'estàndards ISO 27000 com a ISO/IEC 27002 el juliol de 2007.

La segona part de BS7799 va ser publicada per primera vegada per BSI l'any 1999, coneguda com a BS 7799 Part 2, titulada "Sistemes de gestió de seguretat de la informació - Especificació amb orientació per al seu ús". La BS 7799-2 es va centrar en com implementar un sistema de gestió de la seguretat de la informació (ISMS), fent referència a l'estructura de gestió de la seguretat de la informació i els controls identificats a la BS 7799-2. Més tard, es va convertir en ISO/IEC 27001:2005. La BS 7799 Part 2 va ser adoptada per ISO com a ISO/IEC 27001 el novembre de 2005.

BS 7799 Part 3 es va publicar el 2005, que cobreix l'anàlisi i la gestió de riscos. S'alinea amb la norma ISO/IEC 27001:2005.

Es fa molt poca referència o ús a qualsevol dels estàndards BS en relació amb ISO/IEC 27001.

Principis clau de la ISO/IEC 27001

La base de la ISO/IEC 27001 es basa en diversos principis clau:

La norma ISO/IEC 27001 posa l'accent en la importància d'identificar i avaluar els riscos de seguretat de la informació. Les organitzacions han d'implementar processos de gestió de riscos per identificar amenaces potencials, avaluar-ne l'impacte i desenvolupar estratègies de mitigació adequades.

L'última revisió de l'estàndard ISO/IEC 27001:2022 descriu un conjunt complet de controls de seguretat a l'annex A, classificats en 4 dominis. Aquests controls aborden diversos aspectes de la seguretat de la informació, com ara el control d'accés, la criptografia, la seguretat física i la gestió d'incidències.

ISO/IEC 27001 promou una cultura de millora contínua en les pràctiques de seguretat de la informació. El seguiment periòdic, l'avaluació del rendiment i les revisions periòdiques ajuden les organitzacions a adaptar-se a les amenaces en evolució i a millorar l'eficàcia de la seva ISMS.

Certificació

Un sistema de gestió de la seguretat de la informació (SGSI) pot ser certificat conforme a la norma ISO/IEC 27001^[7]^[8] per una sèrie d'organismes de certificació acreditats arreu del món.^[9] La certificació segons qualsevol de les variants nacionals reconegudes d'ISO/IEC 27001 (per exemple, JIS Q 27001, la versió japonesa) per un organisme de certificació acreditat és funcionalment equivalent a la certificació segons la pròpia norma ISO/IEC 27001.^[10]^[11]

En alguns països, els organismes que verifiquen la conformitat dels sistemes de gestió amb la norma establerta s'anomenen «organismes de certificació», mentre que en altres sovint s'anomenen «organismes de registre», «organismes d'avaluació i registre», «organismes de certificació/registre», i de vegades «registradors».

La certificació ISO/IEC 27001, com altres certificacions de sistemes de gestió ISO, normalment inclou un procés d'auditoria externa en tres fases, definit per les normes ISO/IEC 17021 i ISO/IEC 27006.^[12]

Altres estàndards per garantir la seguretat de la informació

Control de sistemes i organització (SOC; de vegades també anomenat control d'organitzacions de serveis), segons el defineix l'American Institute of Certified Public Accountants (AICPA), és un conjunt d'informes elaborats a partir d'una auditoria.^[13]^[14] Els informes Service Organization Control 2 van ser desenvolupats per l'AICPA per auditar l'existència i l'eficàcia dels controls de seguretat, disponibilitat, integritat del processament de dades, confidencialitat i protecció de dades personals a les organitzacions. Aquests informes s'utilitzen habitualment per avaluar, informar i verificar els processos de gestió de dades d'un proveïdor extern.^[15] En els informes, l'atenció principal se centra en els controls agrupats en cinc categories anomenades Criteris de serveis de confiança.

ISO/IEC 27002 és una norma de seguretat de la informació^[16] publicada per l'Organització Internacional per a l'Estandardització (ISO) i la Comissió Electrotècnica Internacional (IEC) amb el títol «Seguretat de la informació, ciberseguretat i protecció de la privacitat — Controls de seguretat de la informació». La norma ISO/IEC 27002 ofereix recomanacions sobre les millors pràctiques en matèria de controls de seguretat de la informació per a les persones responsables d'iniciar, implementar o mantenir un sistema de gestió de la seguretat de la informació (SGSI). La seguretat de la informació es defineix a la norma en el context de la triada CIA: la confidencialitat (garantir que l'accés a la informació sigui només per a qui hi té dret), la integritat (garantir l'exactitud i la completitud de la informació i dels mètodes de processament) i la disponibilitat (garantir l'accés dels usuaris autoritzats a la informació i als recursos associats quan sigui necessari).

Referències

↑ «ISO/IEC 27001 International Information Security Standard published» (en anglès). bsigroup.com. BSI. [Consulta: 21 agost 2020].
↑ Bird, Katie. «NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS» (en anglès). ISO, 14-08-2013. [Consulta: 21 agost 2020].
↑ ISO/IEC. «ISO/IEC 27001:2022» (en anglès). ISO.org. [Consulta: 29 novembre 2022].
↑ «ISO/IEC 27001:2013» (en anglès). ISO. [Consulta: 9 juliol 2020].
↑ Akinyemi, Iretioluwa; Schatz, Daniel; Bashroush, Rabih (en anglès) International Journal of Services Operations and Informatics, 10, 4, 2020, p. 305. DOI: 10.1504/ijsoi.2020.111297. ISSN: 1741-539X.
↑ «Facts and figures» (en anglès). bsigroup.com. Arxivat de l'original el 20 October 2012. [Consulta: 10 gener 2018].
↑ «What is ISO/IEC 27001, The Information Security Standard». www.isms.online. [Consulta: 24 febrer 2026].
↑ «ISO 27001 Information Security Management System (ISMS)». amtivo.com. [Consulta: 24 febrer 2026].
↑ «International Certification Group». international-certification-group.com. [Consulta: 24 febrer 2026].
↑ «Information Security Management System ISMS». cvgstrategy.com. [Consulta: 24 febrer 2026].
↑ «ISO/IEC 27001 International Standard on requirements for information security management: Atlas Certification Services». www.acscert.com. [Consulta: 24 febrer 2026].
↑ «ISO 27001 Compliance with BeyondTrust». www.beyondtrust.com. [Consulta: 24 febrer 2026].
↑ «Obtaining a SOC Report: A Comprehensive Guide». warrenaverett.com. [Consulta: 24 febrer 2026].
↑ «What is a SOC 2 Type 2 Report? Guidance & Auditor Insights». linfordco.com. [Consulta: 24 febrer 2026].
↑ «Soc2 Compliance». carbidesecure.com. [Consulta: 24 febrer 2026].
↑ «kSIST ISO/IEC FDIS 27002:2022 - Information security, cybersecurity». ecommerce.sist.si. [Consulta: 24 febrer 2026].

[1] «ISO/IEC 27001 International Information Security Standard published» (en anglès). bsigroup.com. BSI. [Consulta: 21 agost 2020].

[2] Bird, Katie. «NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS» (en anglès). ISO, 14-08-2013. [Consulta: 21 agost 2020].

[3] ISO/IEC. «ISO/IEC 27001:2022» (en anglès). ISO.org. [Consulta: 29 novembre 2022].

[4] «ISO/IEC 27001:2013» (en anglès). ISO. [Consulta: 9 juliol 2020].

[5] Akinyemi, Iretioluwa; Schatz, Daniel; Bashroush, Rabih (en anglès) International Journal of Services Operations and Informatics, 10, 4, 2020, p. 305. DOI: 10.1504/ijsoi.2020.111297. ISSN: 1741-539X.

[6] «Facts and figures» (en anglès). bsigroup.com. Arxivat de l'original el 20 October 2012. [Consulta: 10 gener 2018].

[7] «What is ISO/IEC 27001, The Information Security Standard». www.isms.online. [Consulta: 24 febrer 2026].

[8] «ISO 27001 Information Security Management System (ISMS)». amtivo.com. [Consulta: 24 febrer 2026].

[9] «International Certification Group». international-certification-group.com. [Consulta: 24 febrer 2026].

[10] «Information Security Management System ISMS». cvgstrategy.com. [Consulta: 24 febrer 2026].

[11] «ISO/IEC 27001 International Standard on requirements for information security management: Atlas Certification Services». www.acscert.com. [Consulta: 24 febrer 2026].

[12] «ISO 27001 Compliance with BeyondTrust». www.beyondtrust.com. [Consulta: 24 febrer 2026].

[13] «Obtaining a SOC Report: A Comprehensive Guide». warrenaverett.com. [Consulta: 24 febrer 2026].

[14] «What is a SOC 2 Type 2 Report? Guidance & Auditor Insights». linfordco.com. [Consulta: 24 febrer 2026].

[15] «Soc2 Compliance». carbidesecure.com. [Consulta: 24 febrer 2026].

[16] «kSIST ISO/IEC FDIS 27002:2022 - Information security, cybersecurity». ecommerce.sist.si. [Consulta: 24 febrer 2026].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

Normes ISO
Llistes: Llista de normes ISO · Llista de romanitzacions ISO · Llista de normes IEC Categories: Categoria:Normes ISO · Categoris:Protocols OSI
1–9999	1 2 3 4 5 6 7 9 16 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 302 306 428 518 519 639 -1 -2 -3 -5 -6 646 690 732 764 843 898 965 1000 1004 1007 1073-1 1413 1538 1745 1989 2014 2015 2022 2047 2108 2145 2146 2240 2281 2709 2711 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4165 4217 4909 5218 5428 5775 5776 5800 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 7001 7002 7098 7185 7200 7498 7736 7810 7811 7812 7813 7816 8000 8178 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9075 9126 9293 9241 9362 9407 9506 9529 9564 9594 9660 9897 9899 9945 9984 9985 9995
10000–19999	10005 10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 (-2) 11941 11941 (TR) 11992 12006 12182 12207 12234-2 13211 -1 -2 13216 13250 13399 13406-2 13450 13485 13490 13567 13568 13584 13616 14000 14031 14224 14289 14396 14443 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14644 14649 14651 14698 14750 14764 14882 14971 15022 15118 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15489 15504 15511 15686 15693 15706 -2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16612-2 16750 16949 (TS) 17024 17025 17100 17203 17369 17442 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092 (-1 -2) 19114 19115 19125 19136 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 19770 19775-1 19794-5 19831
20000+	20000 20022 20121 20400 21000 21047 21500 21827:2002 22000 23270 23271 23360 24014 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000 series 27000 27001 27002 27006 27729 28000 29110 29148 29199-2 29500 30170 31000 32000 38500 40500 42010 55000 80000 -1 -2 -3
Vegeu també: Tots els articles que comencen per "ISO"