ISO 27000
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados
por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para
desarrollar, implementar y mantener Especificaciones para los Sistemas de
Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se
encuentran en preparación e incluyen:
·
ISO/IEC 27000 - es un
vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente.
·
ISO/IEC 27001 -
es la certificación que deben obtener las organizaciones. Norma que especifica
los requisitos para la implantación del SGSI. Es la norma más importante de la
familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua
de los procesos. Fue publicada como estandar internacional en octubre de 2005.
·
ISO/IEC 27002 - Information
technology - Security techniques - Code of practice for information security
management. Previamente
BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la
gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO
17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de
2007.
·
ISO/IEC
27003 - son directrices para la implementación de un SGSI. Es el soporte de la
norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No esta certificada
acualmente.
·
ISO/IEC
27004 - son métricas para la gestión de seguridad de la información. Es la que
proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de
seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra
traducida al español actualmente.
·
ISO/IEC
27005 - trata la gestión de riesgos en seguridad de la información. Es la que
proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación
de riesgos de Seguridad en la Información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British
Standard BS 7799 parte 3. Publicada en junio de 2008.
·
ISO/IEC
27006:2007 - Requisitos para la acreditación de las organizaciones que
proporcionan la certificación de los sistemas de gestión de la seguridad de la
información. Esta norma especifica requisitos específicos para la certificación
de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de
acreditación.
·
ISO/IEC
27007 - Es una guía para auditar al SGSI. Se encuentra en preparación.
·
ISO/IEC
27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la
salud.
·
ISO/IEC
27035:2011 - Seguridad de la
información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad.
Este standard hace foco en las actividades de: detección, reporte y evaluación
de incidentes de seguridad y sus vulnerabilidades.
Con la revisión de 2000 se consiguió una norma menos complicada, adecuada
para organizaciones de todo tipo, aplicable sin problemas en empresas de
servicios e incluso en la Administración Pública, con el fin de implantarla y
posteriormente, si lo deciden, ser certificadas conforme a la norma ISO 9001.
No hay comentarios:
Publicar un comentario