Iso 27000

ISO 27000 Por: Camila Michelle Tatiana Juliana

? QUE ES ? 

Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI). › Requisitos › › › ›



para la especificación de sistemas de gestión de la seguridad de la información Proceso del análisis y gestión del riesgo Métricas y medidas de protección Guías de implantación Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.

ORIGEN General

 Aplicación 

Cubre todos los tipos de organizaciones. También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.

El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.

BENEFICIOS

ALCANCES

SISTEMA DE ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACIÓN 

Implantar el SASI › Definir el alcance

y las fronteras del SASI en términos de las características del negocio. › Definir la aproximación a la evaluación del riesgo de la organización.

› Identificar los

riesgos. › Analizar y evaluar los riesgos. › Identificar y evaluar opciones para el tratamiento de riesgos. › Seleccionar objetivos de control y controles para el

SISTEMA DE ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACIÓN ›

›

› Obtener

› Monitorear y

aprobación de la gerencia de los riesgos remanentes propuestos.

› › Preparar una

declaración de aplicabilidad.

revisar el SASI.

› › Mantener y

mejorar el SASI.

¿Qué debe incluir el SASI? 

      

 

Enunciados documentados de la política del SASI y los objetivos; El alcance del SASI; Procedimientos y controles que soportan el SASI; Una descripción de la metodología de evaluación de riesgos; El reporte de evaluación de riesgos; El plan de tratamiento del riesgo; Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles; Registros requeridos por este Estándar Internacional; La declaración de aplicabilidad.

COMO ADAPTARSE

ASPECTOS CLAVES

ISO 27001 

Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”.

ISO 27002  Está

en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable .

ISO 27003 

Se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 .

ISO 27004 

Publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

ISO 27005  Consiste

en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.