La serie 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

Alcance: Esta Norma Internacional proporciona a las organizaciones e individuos:

     Una descripción general de la familia ISMS de normas.
           b) Una introducción a los sistemas de gestión de seguridad de la información (SGSI).
           c) Los términos y conceptos utilizados en la familia de normas de SGSI.

ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.

Alcance: Esta norma específica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar los sistemas de gestión de seguridad de la información (SGSI) formalizado en el contexto de los riesgos de negocio globales de la organización. Especifica los requisitos para la aplicación de los controles de seguridad de la información a medida de las necesidades de las organizaciones individuales o partes de los mismos. Esta Norma Internacional puede ser utilizada por todas las organizaciones, independientemente del tipo, tamaño y naturaleza.


Propósito: ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluyendo un conjunto de controles para el control y mitigación de los riesgos asociados a la los activos de información, que la organización pretende proteger al operar su SGSI. Organizaciones el funcionamiento de un SGSI puede tener su conformidad auditado y certificado. Los objetivos de control y controles del anexo A (ISO / IEC 27001) será seleccionado como parte de este proceso SGSI según corresponda para cubrir
los requisitos identificados. Los objetivos de control y controles enumerados en la Tabla A.1 (ISO / IEC 27001) son directamente derivada de y alineada con los que figuran en la norma ISO / IEC 27002, las cláusulas 5 y 18 años.

LA NORMA UNE-ISO/IEC 27001

La norma UNE-ISO/IEC 27001 establece los requisitos para los Sistemas de Gestión de la Seguridad de la Información (SGSI) de una organización, de tal forma que le permita en todo momento garantizar la confidencialidad, integridad y disponibilidad de la información que maneja.

Esta norma internacional proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de la Seguridad de la Información (SGSI).

La norma UNE-ISO/IEC 27001 establece 11 dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

  1. Política de seguridad.
  2. Aspectos organizativos de la seguridad de la información.
  3. Gestión de activos.
  4. Seguridad ligada a los recursos humanos.
  5. Seguridad física y ambiental.
  6. Gestión de comunicaciones y operaciones.
  7. Control de acceso.
  8. Adquisición, desarrollo y mantenimiento de los sistemas de información.
  9. Gestión de incidentes de seguridad de la información. 
  10. Gestión de la continuidad del negocio.
  11. Cumplimiento.

  
De estos once dominios se derivan 39 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 133 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

UNE-ISO/IEC 27001 es una norma certificable, que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI).

Además se cuenta con el apoyo de las normas UNE 71501 IN, Guía para la gestión de la seguridad de TI, que consta de tres partes:

           Parte 1: conceptos y modelos para la seguridad de TI 
           Parte 2: Gestión y planificación de la seguridad de TI
           Parte 3: Técnicas para la gestión de la seguridad de TI


VENTAJAS DE IMPLANTAR LA NORMA


La implantación de la norma UNE-ISO/IEC 27001 proporciona diferentes ventajas a cualquier organización:

·        Reducción del impacto de los riesgos, que en caso de materializarse las amenazas, puedan representar pérdidas (de capital, de facturación, de oportunidades de negocio, por reposición de los daños causados, reclamaciones de clientes, sanciones legales, etc), al aumentar la seguridad efectiva de los sistemas de información, con una mejor planificación y gestión de la seguridad.

  • Garantías de continuidad del negocio basándose en el Plan de Contingencias.
  • Mejora de la imagen de la organización y aumento del valor comercial de la empresa y sus marcas.
  • Incremento de los niveles de confianza de clientes, proveedores, accionistas y socios.
  •  Mejora del retorno de las inversiones, al tener mejor criterio según los riesgos residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el negocio.
  • Cumplimiento de la legislación y normativa vigentes, tales como de Protección de datos de Carácter personal, de Servicios de la Sociedad de la Información o de Propiedad Intelectual.
  • Mejora continua a través de la metodología PDCA (Planificar, Hacer, Verificar y Actuar).

En definitiva, establece una cultura de la seguridad y una excelencia en el tratamiento de la información en todos los procesos de negocio de la empresa, aportando un valor añadido de reconocido prestigio, en la calidad de los servicios que ofrece a sus clientes.

Por último es importante destacar su gran interrelación con otras normas de gestión como la conocida ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente. Entendemos que lo más adecuado es integrar la Gestión de la Seguridad de la Información con el resto de sistemas de gestión existentes en la Organización.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en www.iso.org/iso/home.html

Alcance: Esta Norma Internacional proporciona una lista de objetivos de control comúnmente aceptados y las mejores Controles de las prácticas para ser utilizado como una guía de implementación en la selección e implementación de controles para lograr la seguridad de la información.

Propósito: ISO / IEC 27002 proporciona orientación sobre la aplicación de los controles de seguridad de la información. Específicamente numerales 5 al 18 proporcionan consejos implementación específica y orientación sobre las mejores prácticas en apoyo de los controles especificados en las cláusulas A.5 a A.18 de la norma ISO / IEC 27001.

ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

Alcance: Esta Norma Internacional proporciona una guía práctica aplicación y proporciona, además, información para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI según ISO / IEC 27001.

Propósito: ISO / IEC 27003 proporciona un enfoque orientado al proceso para la implementación exitosa de la SGSI según ISO / IEC 27001.

ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.

Alcance: Esta Norma Internacional proporciona orientación y asesoramiento sobre el desarrollo y uso de mediciones con el fin de evaluar la eficacia de ISMS, objetivos de control y controles utilizados para implementar y administrar la seguridad de la información, tal como se especifica en la norma ISO / IEC 27001.

Propósito: ISO / IEC 27004 proporciona un marco de medición que permite una evaluación de ISMS eficacia, que se mide de acuerdo con ISO / IEC 27001.

ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en www.iso.org/iso/home.html

Alcance: Esta Norma Internacional proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque descrito dentro de esta Norma Internacional apoya los conceptos generales especificados en ISO / IEC 27001.

Propósito: ISO / IEC 27005 proporciona orientación sobre la implementación de un proceso de gestión de riesgos orientado enfoque para ayudar en la implementación satisfactoria y el cumplimiento de la gestión del riesgo de seguridad de la información requisitos de la norma ISO / IEC 27001.

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en http://www.iso.org/iso/home.html

Alcance: Esta norma específica los requisitos y proporciona una guía para los organismos que realizan auditoría y certificación ISMS de acuerdo con ISO / IEC 27001, además de los requisitos contenida dentro de la norma ISO / IEC 17021. Se piensa sobre todo para apoyar la acreditación de certificación organismos que presten servicios de certificación de SGSI según ISO / IEC 27001.

Propósito: ISO / IEC 27006 suplementos ISO / IEC 17021 en la prestación de los requisitos por los cuales organizaciones de certificación están acreditados, lo que permite a estas organizaciones para proporcionar el cumplimiento certificaciones consistentemente en contra de los requisitos establecidos en la norma ISO / IEC 27001.

ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

Alcance: Esta Norma Internacional proporciona orientación sobre la realización de auditorías de SGSI, así como la orientación en la competencia de los auditores de sistemas de gestión de seguridad de la información, además de la orientación contenida en la norma ISO 19011, que es aplicable a los sistemas de gestión en general.

Propósito: ISO / IEC 27007 proporcionará orientación a las organizaciones que necesitan para llevar a cabo interna o auditorías externas de un SGSI o para gestionar un programa de auditoría ISMS en contra de los requisitos especificados en la norma ISO / IEC 27001.

ISO/IEC TR 27008

Alcance: Este Informe Técnico proporciona orientación sobre la revisión de la implementación y operación de controles, incluyendo la comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con establecidas las normas de seguridad de información de una organización.

Propósito: Este Informe Técnico proporciona un enfoque en la revisión de los controles de seguridad de la información, incluyendo la comprobación de la conformidad técnica, frente a un patrón de implementación de seguridad de la información, la cual establecido por la organización. No tiene la intención de proporcionar una orientación específica sobre el cumplimiento comprobación de la medición, la evaluación de riesgos en relación con la auditoría o de un SGSI según se especifica en la norma ISO / IEC 27004, ISO / IEC 27005 vs ISO / IEC 27007, respectivamente. Este Informe Técnico no está destinado a la gestión auditorías de sistemas.

ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

ISO/IEC 27013
Alcance: Esta Norma Internacional proporcionará orientación sobre la aplicación integrada de ISO / IEC 27001 e ISO / IEC 20000-1 para las organizaciones que pretenden:

  • Aplicar la norma ISO / IEC 27001 para el ISO / IEC 20000-1 ya está aprobado, o viceversa.
  • b) aplicar las normas ISO / IEC 27001 e ISO / IEC 20000-1 juntos.
  • c) alinear IEC 27001 e ISO / IEC implementaciones existentes del sistema de gestión ISO / 20000-1.


Objetivo: proporcionar a las organizaciones una mejor comprensión de las características, similitudes y diferencias de la norma ISO / IEC 27001 e ISO / IEC 20000-1 para ayudar en la planificación de una gestión integrada sistema que se ajusta a las Normas Internacionales de ambos.


ISO / IEC 27014
Alcance: Esta Norma Internacional proporcionará orientación sobre los principios y procesos para la gobernabilidad de seguridad de la información, mediante el cual las organizaciones pueden evaluar, dirigir y supervisar la gestión de seguridad de información.

Propósito: seguridad de la información se ha convertido en una cuestión clave para las organizaciones. No sólo hay cada vez mayor los requisitos reglamentarios, sino también a la falta de medidas de seguridad de la información de una organización puede tener un impacto directo en la reputación de una organización. Por lo tanto, los órganos de gobierno, como parte de su responsabilidades de gobierno, se requiere cada vez más para tener la supervisión de seguridad de la información garantizar los objetivos de la organización se logra.

ISO/IEC TR 27016

Alcance: Este Informe Técnico proporcionará una metodología que permite a las organizaciones a comprender mejor económicamente cómo valorar con mayor precisión sus activos de información identificadas, el valor del potencial riesgos para los activos de información, aprecian el valor que los controles de protección de la información que entregan estos activos de información, y determinar el nivel óptimo de los recursos que han de aplicarse en la obtención de estos los activos de información.

Propósito: Este Informe Técnico complementará la familia SGSI de las normas mediante la superposición de una perspectiva de la economía en la protección de los activos de información de una organización en el contexto de la más amplio entorno social en el cual una organización opera y proporciona orientación sobre cómo aplicar economía de las organizaciones de seguridad de la información mediante el uso de modelos y ejemplos.


ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: La Organización Internacional de Normalización (ISO por sus siglas en inglés) ha anunciado la creación del estándar ISO/IEC 27032 para la ciberseguridad. La organización ha explicado que pretende garantizar la seguridad en los intercambios de información en la Red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con cooperación y coordinación. cso.computerworld.es/alertas/norma-isoiec-27032-nuevo-estandar-de-ciberseguridad

ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

ISO 27034: En fase de desarrollo; publicada en febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en www.iso.org/iso/home.html











1 comentario:

  1. Arya Rishi16 de noviembre de 2020, 3:54 a.m.

    Nice post, I bookmark your blog because I found very good information on your blog, Thanks for sharing more information

    Certificacao ISO 27001

    ResponderBorrar

Suscribirse a: Entradas (Atom)