ISO/IEC 27001:2013 Information Security Management Standards (Estándares de administración de seguridad de la información ISO/IEC 27001:2013)
Introducción a la norma ISO/IEC 27001
La Organización Internacional de Normalización (ISO) es una organización independiente y no gubernamental, y el desarrollador más grande del mundo de estándares internacionales voluntarios. La Comisión Electrotécnica Internacional (IEC) es la organización líder del mundo en la preparación y publicación de normas internacionales acerca de tecnologías eléctricas, electrónicas y relacionadas.
Publicada por el subcomité mixto de ISO/IEC, la familia de normas ISO/IEC 27000 describe cientos de controles y mecanismos de control para ayudar a las organizaciones de todos los tipos y tamaños a mantener seguros los activos de información. Estos estándares globales proporcionan un marco para directivas y procedimientos que incluyen todos los controles jurídicos, físicos y técnicos involucrados en los procesos de administración de riesgos de la información de una organización.
ISO/IEC 27001 es una norma de seguridad que especifica formalmente un sistema de administración de la seguridad de la información (ISMS) diseñado para mantener la seguridad de la información bajo un control de administración explícito. Como especificación formal, exige requerimientos que definen cómo implementar, supervisar, mantener y mejorar continuamente la ISMS. También indica un conjunto de prácticas recomendadas que incluyen requisitos de documentación, divisiones de responsabilidad, la disponibilidad, el control de acceso, la seguridad, la auditoría y medidas correctivas y preventivas. La certificación para la norma ISO/IEC 27001 ayuda a las organizaciones a cumplir numerosas disposiciones reglamentarias y jurídicas relacionadas con la seguridad de la información.
Microsoft y la norma ISO/IEC 27001
La aceptación y aplicabilidad internacionales de la norma ISO/IEC 27001 es la principal razón por la que la certificación de esta norma es la vanguardia del enfoque de Microsoft para implementar y administrar la seguridad de la información. El logro por parte de Microsoft de la certificación de la norma ISO/IEC 27001 señala su compromiso para cumplir las promesas a los clientes desde un punto de vista de cumplimiento de la seguridad empresarial. Actualmente, un organismo de certificación de terceros acreditado audita Azure público y Azure Alemania al menos una vez al año para garantizar que cumplen las ISO/IEC 27001, lo que permite la validación independiente de que los controles de seguridad se aplican y funcionan de forma eficaz.
Obtenga información sobre las ventajas de ISO/IEC 27001 en la nube de Microsoft: Descargue la norma ISO/IEC 27001:2013.
Servicios y plataformas en la nube dentro del ámbito de Microsoft
- Azure, Azure Government y Azure Alemania
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Dynamics 365, Dynamics 365 Government y Dynamics 365 Germany
- Microsoft Graph
- Bot de Microsoft Healthcare
- Intune
- Escritorio administrado por Microsoft
- El servicio de nube de Power Automate (anteriormente conocido como Microsoft Flow) como un servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
- Office 365, Office 365 Administración Pública para Estados Unidos y Office 365 U.S. Government Defense
- Office 365 Germany
- OMS Service Map
- El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
- El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
- Power BI incrustado
- Power Virtual Agents
- Servicios profesionales de Microsoft
- Microsoft Stream
- Experto en amenazas de Microsoft
- Microsoft Translator
- Temas
- Windows 365
Azure, Dynamics 365 e ISO 27001
Para obtener más información sobre el cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta de Azure ISO 27001.
Office 365 e ISO 27001
Entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Access Online, Microsoft Entra ID, Servicio de comunicaciones de Azure, Administrador de cumplimiento, Caja de seguridad del cliente, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, Temas Microsoft Viva, MyAnalytics, Complemento de cumplimiento avanzado de Office 365, Portal de clientes de Office 365, Microservicios de Office 365 (incluidos, entre otros, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream |
GCC | Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance add-on, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, complemento de cumplimiento avanzado de Office 365, Centro de cumplimiento de office 365 Security &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype para empresas |
DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, complemento de cumplimiento avanzado de Office 365, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype para empresas |
Auditorías, informes y certificados de Office 365
Los servicios de nube de Office 365 se auditan al menos anualmente para certificar que cumplen la norma ISO 27001:2013.
Evaluaciones e informes de Office 365
- Microsoft 365 ISO Assessment Report Final (2023)
- Office 365 - ISO 27001, 27017, 27018, 27701 Declaración de aplicabilidad (2.23.2022)
Preguntas más frecuentes
¿Por qué es importante el cumplimiento de Office 365 con ISO/IEC 27001?
El cumplimiento de estas normas, confirmado por un auditor autorizado, demuestra que Microsoft usa procesos reconocidos internacionalmente y procedimientos recomendados para administrar la infraestructura y organización que permiten y proporcionan sus servicios. El certificado valida que Microsoft ha implementado las directrices y los principios generales para iniciar, implementar, mantener y mejorar la administración de la seguridad de la información.
¿Dónde puedo obtener los informes de auditoría y declaraciones de ámbito de ISO/IEC 27001 para los servicios Office 365?
El Portal del Centro de confianza ofrece informes de cumplimiento auditados de forma independiente. Puede usar el portal para solicitar informes para que los auditores puedan comparar los resultados de los servicios de nube de Microsoft con sus propios requisitos legales y regulatorios.
¿Se ejecutan pruebas anuales para errores de infraestructura de Office 365?
Sí. El proceso de certificación de ISO/IEC 27001 anual para la infraestructura de nube de Microsoft y el grupo de operaciones incluye una auditoría para la resistencia operativa. Para ver el certificado más reciente, seleccione el vínculo siguiente.
- Certificado de Microsoft 365 y Office 365: Office 365 - Certificado ISO 27001:2013 (2021-2024)
¿Dónde puedo iniciar el trabajo de cumplimiento de la ISO/IEC 27001 de mi organización?
La adopción de la norma ISO/IEC 27001 es un compromiso estratégico. Como punto de partida, consulte el directorio de la ISO/IEC 27000.
¿Puedo usar el cumplimiento de la norma ISO/IEC 27001 de los servicios Office 365 en la certificación de mi organización?
Sí. Si su empresa requiere la certificación de ISO/IEC 27001 para las implementaciones realizadas en los servicios de Microsoft, puede usar la certificación correspondiente en la evaluación de cumplimiento. Sin embargo, usted tiene la responsabilidad de contratar un asesor para evaluar los controles y procesos de su propia organización, y la implementación para el cumplimiento de la norma ISO/IEC 27001.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica del portal de cumplimiento de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento tiene una evaluación predefinida para esta normativa para los clientes de Enterprise E5. Busque la plantilla para generar la evaluación en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Asignación de ciberofertas de Microsoft a: ciberseguridad de NIST (CSF), controles CIS y marcos de ISO27001:2013
- Norma ISO/IEC 27001:2013 (para compra)
- Microsoft establece un alto nivel para la seguridad de la información (caso práctico de BSI)
- Marco de cumplimiento del centro de controles comunes de Microsoft
- Términos de Microsoft Online Services
- Microsoft Cloud para la Administración Pública