05 diciembre 2007

UNE-ISO/IEC 27001:2007

Por fin! Después de mucho tiempo esperando, finalmente se ha publicado la traducción oficial (y por tanto, norma UNE) de la ISO 27001:2005. Podeis verificarlo a través de este link, indicando 27001 en el primer campo de búsqueda, y pinchando sobre el resultado que aparece. Su fecha oficial de edición es 28 de Noviembre de 2007.

Es una buena noticia que exista una traducción oficial de la norma, sobre todo para evitar la creciente disparidad de traducciones y las posibilidades de diferencias de interpretación que eso puede suponer.

Es posible que haya alguna que otra confusión con el indicador del año, ya que la versión internacional es de 2005 y la nacional de 2007. Realmente no debería suponer ningún problema, pero habrá que estar atentos de mantener la coherencia: si hablamos de UNE supongo que habrá que poner 2007, y si hablamos de ISO, 2005.

Me llama la atención el hecho de que aparezca la UNE 71502:2004 como "otra versión vigente" de la nueva UNE. Más que nada, porque algunos defendían que eran dos normas distintas, al menos cuando la ISO todavía era BS. Supongo que las diferencias reales no eran tantas, al fin y al cabo, si resulta que ahora son dos versiones vigentes de la misma norma (o al menos la una lo es de la otra).

De todas formas, la labor de traducción en relación a las normas de seguridad sigue su curso. La última versión UNE de la ISO 27002 es la correspondiente a la ISO 17799:2002, y ya se indica que será anulada por la PNE-ISO/IEC 17799 (traducción oficial de la versión de 2005). Aunque, dado que todavía está en fase de proyecto, creo sería interesante que se publicara ya como UNE-ISO/IEC 27002:20xx, no?

Y por último, un deseo. No sería interesante que, siguiendo esta actividad frenética de fin de año, y tomando como referencia esta publicación, se animara también el mundillo en relación a la publicación del nuevo reglamento de medidas de seguridad para ficheros con datos de caracter personal? Algunos rumores que circulan por el sector dicen que para el primer trimestre de 2008 podría estar publicado el nuevo reglamento, pero otros dicen que el proyecto ha sufrido un nuevo revés y probablemente tendremos otra nueva versión del borrador antes de su trámite final (y sería la quinta). ¿Cuál acertará? Yo, visto lo visto, me decanto por el segundo... Y si no, siempre podremos anunciar su publicación el día 28.

5 comentarios:

Javier Cao Avellaneda dijo...

En la Web de la AEPD se ha colgado la comparecencia del Director ante el Congreso de los Diputados del día 28 de noviembre. Artemi Ramayo, textualmente dice "Aún siendo una iniciativa de competencia del Ministerio de Justicia, deseo manifestarles mi satisfacción por el hecho de que el proyecto de Reglamento ya haya superado el trámite de Dictamen del Consejo de Estado y, por tanto, resulte inminente su aprobación por el Consejo de Ministros."

Parece que el carácter inminente esta vez si puede ser cierto, aunque la aprobación en Consejo de Ministros puede sufrir los acelerones o retrasos que el interés político quiera dedicarle al tema.
Respecto a la existencia de normas UNE-71502 e ISO 27001, creo que la diferencia fundamental es el nivel de acreditación. La certificación acreditada ISO 27001 tiene reconocimiento a nivel internacional, mientras que la UNE 71502 puede valer para las empresas españolas. Ambas normas parecen iguales pero pueden no serlas tanto. He visto alcances en la UNE 71502 que la ISO 27001 no permitiría certificar sin especificar y concretar los elementos que pertenecen al mismo.

Joseba Enjuto dijo...

Muchas gracias por la información, Javier. Esperemos que estés en lo cierto, y termine de una vez esta expectativa constante que no hace sino entorpecer gran cantidad de decisiones en relación a la seguridad de los datos personales...

En cuanto a las dos normas, he leído en www.ISO27000.es que se prevé una moratoria de un año para la transición de la 71502 a la 27001, de cara a la unificación definitiva. Esperemos que poco a poco vaya desapareciendo la dicotomía...

Y por cierto, enhorabuena por "vuestro" primer certificado 27001. A ver si poco a poco vais difundiendo algo más, que los detalles del trabajo tienen pinta de ser realmente interesantes.

Saludos,

Joseba

Javier Cao Avellaneda dijo...

Ya se ha hecho público la obtención del certificado por parte del organismo. Puedes ver más detalles en http://sgsi-iso27001.blogspot.com/2007/12/carmes-la-consejera-de-agricultura-es.html
y próximamente en una noticia en la Web de Firma-e.com

Javier Cao Avellaneda dijo...

Hemos ampliado los detalles de la certificación en la noticia publicada en nuestra Web, cuya referencia es http://www.firma-e.com/destacados/index.php?ntc=43

Joseba Enjuto dijo...

Muchas gracias por las referencias. Realmente son un muy buen ejemplo a tener en cuenta.