A semejanza de otras normas ISO, la 27000 es realmente una serie de
estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y
de 27030 a 27044.
ISO 27000: En fase de
desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá
términos y definiciones que se emplean en toda la serie 27000. La aplicación de
cualquier estándar necesita de un vocabulario claramente definido, que evite
distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está
previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán
un coste.
Alcance: Esta Norma Internacional proporciona a las organizaciones e
individuos:
Una descripción general de la familia
ISMS de normas.
b) Una introducción a los sistemas de
gestión de seguridad de la información (SGSI).
c) Los términos y conceptos utilizados
en la familia de normas de SGSI.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma
con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas
condiciones de transición para aquellas empresas certificadas en esta última.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles
que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1
de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de
todos los controles enumerados en dicho anexo, la organización deberá
argumentar sólidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma está publicada en España como
UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
Alcance: Esta norma específica los requisitos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar los sistemas de gestión de
seguridad de la información (SGSI) formalizado en el contexto de los riesgos de
negocio globales de la organización. Especifica los requisitos para la
aplicación de los controles de seguridad de la información a medida de las
necesidades de las organizaciones individuales o partes de los mismos. Esta
Norma Internacional puede ser utilizada por todas las organizaciones,
independientemente del tipo, tamaño y naturaleza.
Propósito: ISO / IEC 27001 proporciona requisitos normativos para el
desarrollo y operación de un SGSI, incluyendo un conjunto de controles para el
control y mitigación de los riesgos asociados a la los activos de información,
que la organización pretende proteger al operar su SGSI. Organizaciones el
funcionamiento de un SGSI puede tener su conformidad auditado y certificado.
Los objetivos de control y controles del anexo A (ISO / IEC 27001) será
seleccionado como parte de este proceso SGSI según corresponda para cubrir
los requisitos identificados. Los objetivos de control y controles
enumerados en la Tabla A.1 (ISO / IEC 27001) son directamente derivada de y
alineada con los que figuran en la norma ISO / IEC 27002, las cláusulas 5 y 18
años.
LA NORMA UNE-ISO/IEC 27001
La norma UNE-ISO/IEC 27001 establece los requisitos para los Sistemas de
Gestión de la Seguridad de la Información (SGSI) de una organización, de tal
forma que le permita en todo momento garantizar la confidencialidad, integridad
y disponibilidad de la información que maneja.
Esta norma internacional proporciona un modelo para la creación,
implementación, operación, supervisión, revisión, mantenimiento y mejora de un
Sistema de Gestión de la Seguridad de la Información (SGSI).
La norma UNE-ISO/IEC 27001 establece 11 dominios de control que cubren
por completo la Gestión de la Seguridad de la Información:
- Política de seguridad.
- Aspectos organizativos de la seguridad de la información.
- Gestión de activos.
- Seguridad ligada a los recursos humanos.
- Seguridad física y ambiental.
- Gestión de comunicaciones y operaciones.
- Control de acceso.
- Adquisición, desarrollo y mantenimiento de los sistemas de información.
- Gestión de incidentes de seguridad de la información.
- Gestión de la continuidad del negocio.
- Cumplimiento.
De estos once dominios se derivan 39 objetivos de control (resultados
que se esperan alcanzar mediante la implementación de controles) y 133
controles (prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo).
UNE-ISO/IEC 27001 es una norma certificable, que recoge la relación de
controles a aplicar (o al menos, a evaluar) para establecer un Sistema de
Gestión de la Seguridad de la Información (SGSI).
Además se cuenta con el apoyo de las normas UNE 71501 IN, Guía para la
gestión de la seguridad de TI, que consta de tres partes:
Parte 1: conceptos y modelos para la seguridad de TI
Parte 2: Gestión y planificación de la seguridad de TI
Parte 3: Técnicas para la gestión de la seguridad de TI
VENTAJAS DE IMPLANTAR LA NORMA
La implantación de la norma UNE-ISO/IEC 27001 proporciona diferentes
ventajas a cualquier organización:
· Reducción del impacto
de los riesgos, que en caso de materializarse las amenazas, puedan representar
pérdidas (de capital, de facturación, de oportunidades de negocio, por
reposición de los daños causados, reclamaciones de clientes, sanciones legales,
etc), al aumentar la seguridad efectiva de los sistemas de información, con una
mejor planificación y gestión de la seguridad.
- Garantías de continuidad del negocio basándose en el Plan de Contingencias.
- Mejora de la imagen de la organización y aumento del valor comercial de la empresa y sus marcas.
- Incremento de los niveles de confianza de clientes, proveedores, accionistas y socios.
- Mejora del retorno de las inversiones, al tener mejor criterio según los riesgos residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el negocio.
- Cumplimiento de la legislación y normativa vigentes, tales como de Protección de datos de Carácter personal, de Servicios de la Sociedad de la Información o de Propiedad Intelectual.
- Mejora continua a través de la metodología PDCA (Planificar, Hacer, Verificar y Actuar).
En definitiva, establece una cultura de la seguridad y una excelencia en
el tratamiento de la información en todos los procesos de negocio de la
empresa, aportando un valor añadido de reconocido prestigio, en la calidad de
los servicios que ofrece a sus clientes.
Por último es importante destacar su gran interrelación con otras normas
de gestión como la conocida ISO 9001 de Calidad y la ISO 14001 de Medio
Ambiente. Entendemos que lo más adecuado es integrar la Gestión de la Seguridad
de la Información con el resto de sistemas de gestión existentes en la
Organización.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO
17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en
su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los
controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente,
a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799)
y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en
inglés y su traducción al francés pueden adquirirse en www.iso.org/iso/home.html
Alcance: Esta Norma Internacional proporciona una lista de objetivos de
control comúnmente aceptados y las mejores Controles de las prácticas para ser
utilizado como una guía de implementación en la selección e implementación de
controles para lograr la seguridad de la información.
Propósito: ISO / IEC 27002 proporciona orientación sobre la aplicación de los
controles de seguridad de la información. Específicamente numerales 5 al 18
proporcionan consejos implementación específica y orientación sobre las mejores
prácticas en apoyo de los controles especificados en las cláusulas A.5 a A.18
de la norma ISO / IEC 27001.
ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de
2009. Consistirá en una guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su
origen en el anexo B de la norma BS7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.
Alcance: Esta Norma Internacional proporciona una guía práctica aplicación
y proporciona, además, información para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI según ISO / IEC 27001.
Propósito: ISO / IEC 27003 proporciona un enfoque orientado al proceso para
la implementación exitosa de la SGSI según ISO / IEC 27001.
ISO 27004: En fase de desarrollo; su fecha prevista de publicación es
Noviembre de 2008. Especificará las métricas y las técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.
Alcance: Esta Norma Internacional proporciona orientación y asesoramiento
sobre el desarrollo y uso de mediciones con el fin de evaluar la eficacia de
ISMS, objetivos de control y controles utilizados para implementar y
administrar la seguridad de la información, tal como se especifica en la norma
ISO / IEC 27001.
Propósito: ISO / IEC 27004 proporciona un marco de medición que permite una
evaluación de ISMS eficacia, que se mide de acuerdo con ISO / IEC 27001.
ISO 27005: Publicada el 4 de
Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad
de la información. Apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la
seguridad de la información basada en un enfoque de gestión de riesgos. El
conocimiento de los conceptos, modelos, procesos y términos descritos en la
norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo
entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de
organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro) que tienen la intención de gestionar los
riesgos que puedan comprometer la organización de la seguridad de la
información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998
y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El
original en inglés puede adquirirse en www.iso.org/iso/home.html
Alcance: Esta Norma Internacional proporciona directrices para la gestión
de riesgos de seguridad de la información. El enfoque descrito dentro de esta
Norma Internacional apoya los conceptos generales especificados en ISO / IEC
27001.
Propósito: ISO / IEC 27005 proporciona orientación sobre la implementación de
un proceso de gestión de riesgos orientado enfoque para ayudar en la
implementación satisfactoria y el cumplimiento de la gestión del riesgo de
seguridad de la información requisitos de la norma ISO / IEC 27001.
ISO 27006: Publicada el 13 de
Febrero de 2007. Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de la
información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de
entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las
entidades de auditoría y certificación de sistemas de gestión) los requisitos
específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación
por sí misma. En España, esta norma aún no está traducida. El original en
inglés puede adquirirse en http://www.iso.org/iso/home.html
Alcance: Esta norma específica los requisitos y proporciona una guía para
los organismos que realizan auditoría y certificación ISMS de acuerdo con ISO /
IEC 27001, además de los requisitos contenida dentro de la norma ISO / IEC
17021. Se piensa sobre todo para apoyar la acreditación de certificación
organismos que presten servicios de certificación de SGSI según ISO / IEC
27001.
Propósito: ISO / IEC 27006 suplementos ISO / IEC 17021 en la prestación de
los requisitos por los cuales organizaciones de certificación están
acreditados, lo que permite a estas organizaciones para proporcionar el
cumplimiento certificaciones consistentemente en contra de los requisitos
establecidos en la norma ISO / IEC 27001.
ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de
2010. Consistirá en una guía de auditoría de un SGSI.
Alcance: Esta Norma Internacional proporciona orientación sobre la
realización de auditorías de SGSI, así como la orientación en la competencia de
los auditores de sistemas de gestión de seguridad de la información, además de
la orientación contenida en la norma ISO 19011, que es aplicable a los sistemas
de gestión en general.
Propósito: ISO / IEC 27007 proporcionará orientación a las organizaciones que
necesitan para llevar a cabo interna o auditorías externas de un SGSI o para
gestionar un programa de auditoría ISMS en contra de los requisitos
especificados en la norma ISO / IEC 27001.
ISO/IEC TR 27008
Alcance: Este Informe Técnico proporciona orientación sobre la revisión de
la implementación y operación de controles, incluyendo la comprobación de la
conformidad técnica de los controles del sistema de información, de conformidad
con establecidas las normas de seguridad de información de una organización.
Propósito: Este Informe Técnico proporciona un enfoque en la revisión de los
controles de seguridad de la información, incluyendo la comprobación de la
conformidad técnica, frente a un patrón de implementación de seguridad de la
información, la cual establecido por la organización. No tiene la intención de
proporcionar una orientación específica sobre el cumplimiento comprobación de
la medición, la evaluación de riesgos en relación con la auditoría o de un SGSI
según se especifica en la norma ISO / IEC 27004, ISO / IEC 27005 vs ISO / IEC
27007, respectivamente. Este Informe Técnico no está destinado a la gestión
auditorías de sistemas.
ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales
de 2008. Consistirá en una guía de gestión de seguridad de la información
específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones).
ISO/IEC 27013
Alcance: Esta Norma Internacional proporcionará orientación sobre la
aplicación integrada de ISO / IEC 27001 e ISO / IEC 20000-1 para las
organizaciones que pretenden:
- Aplicar la norma ISO / IEC 27001 para el ISO / IEC 20000-1 ya está aprobado, o viceversa.
- b) aplicar las normas ISO / IEC 27001 e ISO / IEC 20000-1 juntos.
- c) alinear IEC 27001 e ISO / IEC implementaciones existentes del sistema de gestión ISO / 20000-1.
Objetivo: proporcionar a las organizaciones una mejor comprensión de las
características, similitudes y diferencias de la norma ISO / IEC 27001 e ISO /
IEC 20000-1 para ayudar en la planificación de una gestión integrada sistema
que se ajusta a las Normas Internacionales de ambos.
ISO / IEC 27014
Alcance: Esta Norma Internacional proporcionará orientación sobre los
principios y procesos para la gobernabilidad de seguridad de la información,
mediante el cual las organizaciones pueden evaluar, dirigir y supervisar la
gestión de seguridad de información.
Propósito: seguridad de la información se ha convertido en una cuestión clave
para las organizaciones. No sólo hay cada vez mayor los requisitos
reglamentarios, sino también a la falta de medidas de seguridad de la
información de una organización puede tener un impacto directo en la reputación
de una organización. Por lo tanto, los órganos de gobierno, como parte de su
responsabilidades de gobierno, se requiere cada vez más para tener la
supervisión de seguridad de la información garantizar los objetivos de la
organización se logra.
ISO/IEC TR 27016
Alcance: Este Informe Técnico proporcionará una metodología que permite a
las organizaciones a comprender mejor económicamente cómo valorar con mayor
precisión sus activos de información identificadas, el valor del potencial
riesgos para los activos de información, aprecian el valor que los controles de
protección de la información que entregan estos activos de información, y
determinar el nivel óptimo de los recursos que han de aplicarse en la obtención
de estos los activos de información.
Propósito: Este Informe Técnico complementará la familia SGSI de las normas
mediante la superposición de una perspectiva de la economía en la protección de
los activos de información de una organización en el contexto de la más amplio
entorno social en el cual una organización opera y proporciona orientación
sobre cómo aplicar economía de las organizaciones de seguridad de la
información mediante el uso de modelos y ejemplos.
ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de
2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías
de la información y comunicaciones.
ISO 27032: La Organización Internacional de Normalización (ISO por sus siglas
en inglés) ha anunciado la creación del estándar ISO/IEC 27032 para la
ciberseguridad. La organización ha explicado que pretende garantizar la
seguridad en los intercambios de información en la Red con este nuevo estándar,
que puede ayudar a combatir el cibercrimen con cooperación y coordinación. cso.computerworld.es/alertas/norma-isoiec-27032-nuevo-estandar-de-ciberseguridad
ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre
2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de
redes, arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes. Provendrá de la revisión, ampliación y
renumeración de ISO 18028.
ISO 27034: En fase de desarrollo; publicada en febrero de 2009. Consistirá en
una guía de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de
Junio de 2008. Es un estándar de gestión de seguridad de la información en el
sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al
contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el
comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la
interpretación y aplicación en la salud informática de la norma ISO / IEC 27002
y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto
detallado de controles y directrices de buenas prácticas para la gestión de la
salud y la seguridad de la información por organizaciones sanitarias y otros
custodios de la información sanitaria en base a garantizar un mínimo nivel
necesario de seguridad apropiado para la organización y circunstancias que van
a mantener la confidencialidad, integridad y disponibilidad de información
personal de salud. ISO 27799:2008 se aplica a la información en salud en todos
sus aspectos y en cualquiera de sus formas, toma la información (palabras y
números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual
fuere el medio utilizado para almacenar (de impresión o de escritura en papel o
electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para
transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la
información siempre debe estar adecuadamente protegida. El original en inglés o
francés puede adquirirse en www.iso.org/iso/home.html
Nice post, I bookmark your blog because I found very good information on your blog, Thanks for sharing more information
ResponderBorrarCertificacao ISO 27001