Normas ISO 27000
Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad.
u Conjunto de
normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener
y mejorar un SGSI.
u Normas base:
20001, 20002
u Normas
complementarias: 20003, 20004, 20005.
u Seguridad de la información (según ISO 27001): preservación de
su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento.
u Confidencialidad: la información no se pone a disposición ni se revela
a individuos, entidades o procesos no autorizados.
u Integridad: mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
u Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000
u ISO/IEC 27000:
Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)
u ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.
u Define cómo es el SGSI, cómo se gestiona y cuales son las responsabilidades de los
participantes.
u Sigue un modelo PDCA
(Plan-Do-Check-Act).
u Puntos clave: Gestión de riesgos + Mejora continua.
ISO/IEC 27002:
Código de buenas prácticas para la gestión de la seguridad.
u Recomendaciones sobre qué medidas tomar para asegurar los sistemas de
información de una
organización.
u Describe los objetivos de control (aspectos a analizar para
garantizar la seguridad de la información) y especifica los controles recomendables a implantar
(medidas a tomar).
u Antes ISO 17799,
basado en estándar BS 7799 (en España norma UNE-ISO 17799).
ISO 27003
Es un estándar internacional que constituye una guía para
la implantación de un SGSI.
Se trata de una norma adaptada tanto para los que
quieren lanzarse a implantar un SGSI como para los consultores en su trabajo
diario, debido a que resuelve ciertas cuestiones que venían careciendo de un
criterio normalizado.
ISO-27003 se focaliza su atención en los aspectos requeridos para un diseño
exitoso y una buena implementación del Sistema de Gestión de Seguridad de la
Información – SGSI – según el estándar ISO 27001.
ISO 27004
ISO 27004 facilita una serie de mejores prácticas
para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de
medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas
a crear objetivos de rendimiento y criterios de éxito.
La medición de la seguridad aporta protección a los
sistemas de la organización y da respuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas
dependerá del tamaño y complejidad de la organización, de la relación coste
beneficio y del nivel de integración de la seguridad de la información en los
procesos de la propia organización.
ISO 27005
ISO 27005 es el estándar internacional que se ocupa de la
gestión de riesgos de seguridad de información. La norma suministra las
directrices para la gestión de riesgos de seguridad de la información en una
empresa, apoyando particularmente los requisitos del sistema de gestión de
seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que
tengan la intención de gestionar los riesgos que puedan complicar la seguridad
de la información de su organización. No recomienda una metodología concreta,
dependerá de una serie de factores, como el alcance real del Sistema de Gestión
de Seguridad de la Información (SGSI), o el sector comercial de la propia
industria.
ISO 27006
El estándar ISO 27006 responde a una guía para los
organismos de certificación en los procesos formales que hay que seguir al
auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de
que el certificado emitido de acuerdo a ISO 27001 es válido.
ISO-27006 está pensada para apoyar la acreditación de
organismos de certificación que ofrecen la certificación del Sistema de Gestión
de Seguridad de la Información.
Se encarga de
especificar los requisitos y suministrar una guía para la auditoria y la certificación del sistema.
Cualquier organización certificada en ISO27001 debe
cumplir también con los requisitos de la norma ISO27006.
ISO 27032
La norma (ISO/IEC 27032) facilita la colaboración
segura y fiable para proteger la privacidad de las personas en todo el mundo.
De esta manera, puede ayudar a prepararse, detectar, monitorizar y responder a
los ataques”, han explicado desde ISO. La organización espera que ISO/IEC 27032
permita luchar contra ataques de ingeniería social, hackers, malware, spyware y
otros tipos de software no deseado.
ISO/IEC 27032 ha sido desarrollado por el comité
técnico de ISO. Los interesados en conseguir este estándar pueden hacerlo a
través de los Institutos Nacionales de ISO en los distintos países o en la
secretaría Central de la Organización por 154 francos suizos (127,3 euros).
No hay comentarios:
Publicar un comentario