NIST Cybersecurity Framework en ISO/IEC 27001
El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) proporciona su marco de ciberseguridad (NIST Cybersecurity Framework).
Este marco:
- Ayuda a las organizaciones a comprender mejor sus ciberriesgos y mejorar su gestión.
- Es voluntario.
- Consiste en estándares, directrices y mejores prácticas para gestionar el riesgo relacionado con la ciberseguridad.
- Tiene un enfoque prioritario, flexible y eficiente que ayuda a promover la gestión de la ciberseguridad y, más concretamente, la protección y la resiliencia de las infraestructuras críticas.
Después de la aprobación de la Ley de Protección de las Infraestructuras Críticas (Ley 8/2011, de 28 de abril) y su desarrollo como Real Decreto 704/2011, el Centro Nacional para la Protección de las Infraestructuras Críticas ha declarado los siguientes sectores como críticos: electricidad, gas, petróleo, nuclear, financiero, agua, transporte marítimo, transporte aéreo, transporte ferroviario, transporte por carretera, industria química e industria del espacio.
El objeto es fortalecer la seguridad de las infraestructuras críticas del Estado y el propio sistema europeo de infraestructuras, que en la mayoría de los casos se encuentran interconectados entre sí.
Adicionalmente, este marco es adecuado para gestionar los riesgos en un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001.
Un sistema de gestión de la seguridad de la información conforme a ISO/IEC 27001 se puede integrar con el resto de los sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), gestión del servicio (ISO/IEC 20000-1) y continuidad de negocio (ISO 22301).