Los requisitos de ISO 27001 cambiaron sustancialmente en 2013 respecto a la versión de 2005. La estructura básica de la norma no solo fue modificada, sino también considerablemente racionalizada.
La nueva versión, con sus directrices para implementar un sistema de gestión de la seguridad de la información (SGSI o Information Security Management System, ISMS), tiene un enfoque orientado a los procesos. Mientras que la versión inicial aún hacía referencia explícitamente al círculo de Deming, ahora ya no se trata de una medida obligatoria. Los requisitos son válidos para empresas u organizaciones de cualquier tamaño y de cualquier tipo.
La norma ISO 27001 exige a las empresas la identificación y consideración de todas las cuestiones, tanto externas como internas, que alteren la capacidad empresarial de implantar un SGSI de forma eficaz. Entre estas cuestiones suelen encontrarse especialmente la cultura empresarial, las condiciones ambientales, la regulación vigente, las obligaciones jurídicas y contractuales y las directrices oficiales de la política de gerencia. La dirección de la empresa deberá encargarse, según ISO 27001, de establecer una política de seguridad de la información y de asignar responsables a la hora de llevar a cabo las especificaciones del estándar. La empresa, además, debe comprometerse a promover en toda la organización una actitud consciente respecto a la seguridad de la información.
La planificación también desempeña un papel importante en la certificación ISO 27001: las indicaciones del estándar incluyen, por ejemplo, la evaluación de riesgos específicos en materia de seguridad de la información y el diseño de un plan para gestionarlos. La responsabilidad de determinar los riesgos y de prevenirlos recae enteramente sobre la empresa u organización. La norma prescribe, además, que la empresa debe invertir recursos en garantizar el mantenimiento, la operación y la mejora continua del SGSI. Los datos del SGSI deben ser documentados minuciosamente. A intervalos regulares, las empresas deben realizar evaluaciones de rendimiento y, además, comprobar, medir y analizar la eficacia de su SGSI.
La página web de la Escuela Europea de Excelencia resume los aspectos más importantes del Anexo A y los controles de seguridad en ISO 27001. Una vez el SGSI ha sido implementado, hay que clasificar los valores empresariales. Esta clasificación se realiza, de nuevo, aplicando los principios básicos de confidencialidad, integridad y disponibilidad; y se divide en tres niveles.
El primer nivel incluye, por ejemplo, documentos oficiales que, en caso de ser falsificados, causarían pérdidas poco relevantes, de hasta 500 euros. Se trata de documentos que apenas perjudicarían a la empresa incluso si se incumpliera el estándar ISO continuadamente durante más de una semana.
El segundo nivel se refiere a documentos internos como, por ejemplo, facturas y nóminas. Si se infringen las estipulaciones ISO de seguridad de la información en relación con estos documentos, las pérdidas resultantes para la empresa serían moderadas, de hasta 5000 euros. Tales incidentes no deberían durar más de 24 horas.
Por último, el tercer nivel contiene datos internos de alta sensibilidad, por cuya falsificación la empresa pagaría más de 5000 euros. Este tipo de fallos no deberían durar más de tres horas.