Normas
ISO
Es
un estándar para la seguridad de la información ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en octubre
de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica
los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido
“Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prácticas descritas en
ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orígenes en la
norma BS 7799-2:2002, desarrollada por la entidad de normalización británica,
la British Standards Institution (BSI).
La
seguridad de la información tiene asignada la serie 27000 dentro de
los estándares ISO/IEC:
·
ISO 27000: Publicada en mayo de 2009. Contiene la
descripción general y vocabulario a ser empleado en toda la serie 27000. Se
puede utilizar para tener un entendimiento más claro de la serie y la relación
entre los diferentes documentos que la conforman.
·
UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la
Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión
española 29 noviembre de 2007. Es la norma principal de requisitos de un
Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser
certificados por auditores externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de control y controles que desarrolla la
ISO 27002 (anteriormente denominada ISO 17799).
·
ISO/IEC 27002: (anteriormente denominada
ISO 17799). Guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información con 11
dominios, 39 objetivos de control y 133 controles.
·
ISO/IEC 27003: En
fase de desarrollo; probable publicación en 2009. Contendrá una guía de
implementación de SGSI e información acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma
BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años
con recomendaciones y guías de implantación.
·
ISO 27004: Publicada en diciembre de 2009.
Especifica las métricas y las técnicas de medida aplicables para determinar la
eficiencia y eficacia de la implantación de un SGSI y de los controles
relacionados.
·
ISO 27005: Publicada
en junio de 2008. Consiste en una guía para la gestión del riesgo de la
seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantación de un SGSI. Incluye partes de la ISO 13335.
·
ISO 27006: Publicada
en febrero de 2007. Especifica los requisitos para acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de la
información.
No hay comentarios:
Publicar un comentario