La norma ISO/IEC 27000 es una de las normas de la serie ISO/IEC 27000 de normas relacionadas con los sistemas de gestión de la seguridad de la información (SGSI). El título formal de la norma ISO/IEC 27000 es Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Descripción general y vocabulario .
La norma fue desarrollada por el subcomité 27 (SC27) del primer Comité Técnico Conjunto (JTC1) de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). [1]
La norma ISO/IEC 27000 establece:
La norma ISO/IEC 27000 está disponible de forma gratuita a través del sitio web de la ITTF . [2]
La norma describe el propósito de un SGSI, un sistema de gestión similar en concepto a los recomendados por otras normas ISO como ISO 9000 e ISO 14000 , utilizado para gestionar los riesgos y controles de seguridad de la información dentro de una organización . Poner deliberadamente la seguridad de la información bajo un control de gestión manifiesto es un principio central en toda la serie de normas ISO/IEC 27000.
El público objetivo son los usuarios de los restantes estándares de gestión de seguridad de la información de la serie ISO/IEC 27000.
La seguridad de la información, como muchos temas técnicos, está desarrollando una red compleja de terminología. Relativamente pocos autores se toman la molestia de definir con precisión lo que significan, un enfoque que es inaceptable en el ámbito de las normas, ya que puede generar confusión y devaluar la evaluación y la certificación formales. Al igual que con ISO 9000 e ISO 14000 , la norma base '000' tiene como objetivo abordar este problema.