El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005por International Organization for Standardization y por la comisión International Electrotechnical Commission.
¿Qué es la serie 27000?
La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
ISO 27000:
Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.
UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007.
Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información.
Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004: En fase de desarrollo; probable publicación en 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
ISO 27005: Probable publicación en 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluirá partes de la ISO 13335.
ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información
Análisis de los 11 dominios de la ISO. Valor para el Negocio, KSF y KPI.
• Política de Seguridad. Objetivo. El valor de una Política. Compromiso e Involucramiento de las partes.
• Organización de la Seguridad. Roles y Responsabilidades. Modelos de Estructura Organizacional. Ventajas y Desventajas.
• Administración de Activos. La necesidad de hacerlo en la medida justa.
• Seguridad en los Recursos Humanos. La Cultura Empresarial y el Cambio Cultural. Niveles de Formación.
• Seguridad Física y Ambiental. Objetivos y Alcances claros sobre modelos preestablecidos
• Administración de las Comunicaciones y Operaciones. El Gobierno de TI.
• Control de Acceso. Sus Procesos y Controles Claves. Errores más frecuentes.
• Adquisición, desarrollo y mantenimiento de Sistemas de Información. Procesos y Controles Claves. Errores frecuentes.
• Administración de Incidentes. Objetivos. Identificación, Registro, Análisis, Solución y Reporte.
• Plan de Continuidad de Negocios. Objetivos y Alcance. Su desarrollo. Roles y Responsabilidades.
• Cumplimiento de Leyes y Regulaciones. El Impacto Real. Roles y Responsabilidades.
No hay comentarios:
Publicar un comentario