|
Norma
ISO que rige los sistemas de datos
|
ISO/IEC 27001
|
Especifica
los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad
de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prácticas descritas en ISO/IEC 27002,
anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS
7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
|
|
ISO 27001:2013
|
- Existen varios cambios con respecto a la versión 2005 en esta
versión 2013. Entre ellos destacan: Desaparece la sección "enfoque
a procesos" dando mayor flexibilidad para la elección de
metodologías de trabajo para el análisis de riesgos y mejoras.
- Cambia su estructura conforme al anexo SL común al resto de
estándares de la ISO.
- Pasa de 102 requisitos a 130
- Considerables cambios en los controles establecidos en el Anexo A,
incrementando el número de dominios a 14 y disminuyendo el número de
controles a 114.
- Inclusión de un nuevo dominio sobre "Relaciones con el
Proveedor" por las crecientes relaciones entre empresa y proveedor
en la nube.
- Se parte del análisis de riesgos para determinar los controles
necesarios y compararlos con el Anexo A, en lugar de identificar primero
los activos, las amenazas y sus vulnerabilidades.
- Demuestra la garantía independiente de los controles internos y
cumple los requisitos de gestión corporativa y de continuidad de la
actividad comercial.
- Demuestra independientemente que se respetan las leyes y normativas
que sean de aplicación.
|
Beneficios que aporta este a los objetivos de
la organización
|
|
|
Proporciona una ventaja
competitiva al cumplir los requisitos contractuales y demostrar a los
clientes que la seguridad de su información es primordial.
|
|
|
- Verifica independientemente que los riesgos de
la organización estén correctamente identificados, evaluados y
gestionados al tiempo que formaliza unos procesos, procedimientos y
documentación de protección de la información.
- Demuestra el compromiso de la cúpula directiva
de su organización con la seguridad de la información
- El proceso de evaluaciones periódicas ayuda a
supervisar continuamente el rendimiento y la mejora.
|
|
Certificación
|
La certificación de un SGSI es un
proceso mediante el cual una entidad de certificación externa, independiente
y acreditada audita el sistema, determinando su conformidad con ISO/IEC
27001, su grado de implantación real y su eficacia y, en caso positivo, emite
el correspondiente certificado.
Antes de la publicación del
estándar ISO 27001, las organizaciones interesadas eran certificadas según el
estándar británico BS 7799-2.
Desde finales de 2005, las
organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera
certificación con éxito o mediante su recertificación trienal, puesto que la
certificación BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las
correspondencias del Sistema de Gestión de la Seguridad de la Información
(SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000
y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000),
hasta el punto de poder llegar a certificar una organización en varias normas
y con base en un sistema de gestión común.
|
|
Serie 27000
|
La seguridad de la información
tiene asignada la serie 27000 dentro de los estándares
ISO/IEC:
- ISO 27000: Publicada en mayo de 2009. Contiene
la descripción general y vocabulario a ser empleado en toda la serie
27000. Se puede utilizar para tener un entendimiento más claro de la
serie y la relación entre los diferentes documentos que la conforman.
- UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de
la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la
versión española 29 noviembre de 2007. Es la norma principal de
requisitos de un Sistema de Gestión de Seguridad de la Información. Los
SGSIs deberán ser certificados por auditores externos a las
organizaciones. En su Anexo A, contempla una lista con los objetivos de
control y controles que desarrolla la ISO 27002 (anteriormente
denominada ISO 17799).
- ISO/IEC
27002: (anteriormente denominada ISO 17799). Guía de buenas
prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11 dominios,
39 objetivos de control y 133 controles.
- ISO/IEC 27003: En
fase de desarrollo; probable publicación en 2009. Contendrá una guía de
implementación de SGSI e información acerca del uso del modelo PDCA y de
los requisitos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo
largo de los años con recomendaciones y guías de implantación.
- ISO 27004: Publicada en diciembre de 2009.
Especifica las métricas y las técnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantación de un SGSI y de
los controles relacionados.
- ISO 27005:
Publicada en junio de 2008. Consiste en una guía para la gestión del
riesgo de la seguridad de la información y sirve, por tanto, de apoyo a
la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO
13335.
- ISO 27006:
Publicada en febrero de 2007. Especifica los requisitos para
acreditación de entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información.
|
Otros SGSI
|
|
SOGP
|
|
Otro SGSI
que compite en el mercado es el llamado "Information Security Forum's
Standard of Good Practice" (SOGP). Este SGSI es más una "best
practice" (buenas prácticas), basado en las experiencias del ISF.
|
|
ISM3
|
|
Information
Security Management Maturity Model ("ISM3") (conocida como
ISM-cubed o ISM3) está construido en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información general de
conceptos de seguridad de los gobiernos.
|
|
ISM3 puede
ser usado como plantilla para un ISO
9001 compliant. Mientras que la ISO/IEC 27001 está basada en
controles. ISM3 está basada en proceso e incluye métricas de proceso.
|
|
COBIT
|
|
En el caso
de COBIT, los controles son
aún más amplios que en la ISO-IEC 27001. La versión más actual es la COBIT 5.
|
0 comentarios:
Publicar un comentario