Si bien para implementar ISO 27001 sea preciso hacer uso de ISO 31000 lo cierto es que la primera puede resultar muy útil para la aplicación de la segunda a pesar de que existen muchas diferencias entre ISO 31000 e ISO 27001.

ISO 31000


ISO 31000 nos entrega directrices acerca de la forma de gestionar los riesgos – de cualquier tipo – en las organizaciones, sin concentrarse en la seguridad de la información ya que también aborda la continuidad de negocio, el mercado, e incluso riesgos operacionales.

Igualmente, la norma, nos entrega un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo PDCA (Planificación, ejecución, seguimiento y mejora), para la gestión del riesgo.

ISO 31000 no proporciona metodologías específicas o exclusivas, ya que el tratamiento del riesgo es general. Aborda cualquier tipo de riesgos y no profundiza en ninguno de ellos.

ISO 27001


ISO 27001 es un estándar especializado en el tema de la seguridad de la información, lo que significa que una organización debe establecer procesos que le permitan salvaguardar, controlar, almacenar su información gestionando cualquier riesgo que pudiese afectarla eventualmente.

Pero entonces, conociendo las diferencias entre ISO 31000 e ISO 27001, ¿Cuál es la relación entre ISO 31000 e ISO 27001? ¿Por qué, muchas organizaciones creen que una es indispensable para la aplicación de la otra? Veamos:

Relación entre ISO 31000 e ISO 27001


La duda surge de la actualización 2013 de ISO 27001 en la que se menciona el estándar ISO 31000. Y surge particularmente porque, la versión 2005 de la norma no hacía esta referencia.

Pero ¿Qué es lo que dice exactamente?

"Cláusula 4.1 La organización puede considerar los contextos externos e internos de acuerdo con la cláusula 5.3 de la norma ISO 31000"

Por supuesto, si leemos con detalle las cláusulas 5.3.2 y 5.3.3 de ISO 31000 entendemos que son muy útiles, ya que nos proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos.

Pero por supuesto, es bueno tener en cuenta que esta mención es hecha en una nota, lo que indica que no son directrices obligatorias. Es solo un punto de referencia.

Por otra parte, en la cláusula 6.1.3 de ISO 27001 nos dice:

"La Gestión de la Seguridad de la información, está alineada con la norma ISO 31000"

Es claro que esto no significa que un estándar se convierta en requisito esencial del otro. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 27001 – Las normas frente a frente


Como ya lo hemos advertido, ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la Seguridad de la información y la Gestión de tales riesgos. Por el contrario, ISO 27001 si lo hace y de una forma sobresaliente.

El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia si cabe, que su predecesora la norma BS 25999.

La Norma ISO 31000 como estándar internacional publicado en 2009 para analizar y gestionar los riesgos, esta directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías. Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio.

ISO 27001 proporciona el Know-How necesario para identificar activos, amenazas y vulnerabilidades, pero también para evaluar las consecuencias de un determinado riesgo y calcular su probabilidad de ocurrencia.

Es claro que no necesitamos ISO 31000 para implementar ISO 27001. Lo anterior no significa que ISO 31000 no resulte de utilidad, sobre todo para identificar contextos externos e internos y para obtener un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la organización.

Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la Gestión de Riesgos de forma estratégica y global, podemos considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en asocio – no dependencia – de cualquier otra norma, incluida por supuesto ISO 27001.

Fuente: ISO Tools