NORDOM UNE-EN ISO/IEC 27001:2023 - SEGURIDAD DE LA INFORMACIÓN, CIBERSEGURIDAD Y PROTECCIÓN DE LA PRIVACIDAD - SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - REQUISITOS.

El texto de la Norma ISO/IEC 27001:2002 ha sido elaborado por el Comité Técnico ISO/IEC JTC 1 Tecnología de la Información, de la Organización Internacional de Normalización (ISO), ha sido adoptado como Norma EN ISO/IEC 27001:2023 por el Comité Técnico CEN-CENELEC/JTC 13 Ciberseguridad y protección de datos, cuya Secretaría desempeña DIN.

El texto de la Norma ISO/IEC 27001:2022 ha sido aprobado por CEN-CENELEC como Norma EN ISO/IEC 27001:2023 sin ninguna modificación

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica. 

0.1 Generalidades

Este documento se ha preparado para proporcionar los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. La adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación de un sistema de gestión de la seguridad de la información por una organización está condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizativos utilizados y su tamaño y estructura. Es previsible que todos estos factores condicionantes cambien con el tiempo.

Este documento especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en el contexto de la organización. Este documento también incluye los requisitos para la apreciación y el tratamiento de los riesgos de seguridad de información a la medida de las necesidades de la organización. Los requisitos establecidos en este documento son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza. No se acepta la exclusión de cualquiera de los requisitos especificados en los capítulos 4 al 10 cuando la organización reclame la conformidad con este documento.

Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, solo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación de esta).

Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO/IEC 27000.