ISO 27001 es una norma internacional para sistemas de gestión de seguridad de la información (ISMS). Proporciona un marco para que las organizaciones gestionen su información y datos confidenciales de forma segura, protegiéndolos contra el acceso no autorizado, la revelación, la destrucción o la pérdida. La norma está basada en el riesgo y describe un conjunto de prácticas recomendadas, controles y procesos para garantizar la seguridad de la información. Organizaciones de todo el mundo la han adoptado y a menudo se utiliza como referencia para la gestión de la seguridad de la información.
La norma ISO/IEC 27017:2015 proporciona directrices para los controles de seguridad de la información aplicables a la provisión y el uso de servicios en la nube, con directrices y controles adicionales para complementar los utilizados para la norma ISO 27001, adaptados específicamente a los proveedores de servicios en la nube y a los clientes de servicios en la nube.
Este estándar proporciona orientación destinada a garantizar que los proveedores de servicios en la nube ofrezcan controles de seguridad de la información adecuados con el fin de proteger la privacidad de los clientes de sus clientes mediante la protección de la información personal identificable (PII) que se les ha confiado.
El estándar sirve como referencia para seleccionar controles de protección de PII al implementar un sistema de gestión de seguridad de la información de cloud computing basado en la norma ISO/IEC 27018. También proporciona orientación sobre la implementación de controles de protección de PII.
La norma ISO/IEC 27701:2019 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) para ampliar el sistema de gestión de la seguridad de la información (ISMS) de ISO/IEC 27001 a fin de abordar aún más la protección de la privacidad en el contexto del tratamiento de la PII a través de un sistema de gestión de la información de privacidad (PIMS). Una organización que cumpla los requisitos de ISO/IEC 27701 debe generar pruebas documentales de cómo gestiona el tratamiento de la PII como encargado del tratamiento o como responsable del mismo.