Administraci N De Sistemas ISO
Páginas: 7 (1571 palabras)
Publicado: 10 de julio de 2015
Administración de Sistemas ISO/IEC 27001
ISO/IEC 27001
Es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la normaBS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).
Evolución
En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.
Con lapublicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
ISO 27001:2013
Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan:
Desaparece la sección "enfoque a procesos" dandomayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.
Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.
Pasa de 102 requisitos a 130.
Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.
Inclusión de un nuevo dominio sobre"Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios que aporta este a los objetivos de la organización
Demuestra la garantía independiente de los controlesinternos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de laorganización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: lasorganizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventaja
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbitode la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y...
ISO/IEC 27001
Es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la normaBS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).
Evolución
En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.
Con lapublicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
ISO 27001:2013
Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan:
Desaparece la sección "enfoque a procesos" dandomayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.
Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.
Pasa de 102 requisitos a 130.
Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.
Inclusión de un nuevo dominio sobre"Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios que aporta este a los objetivos de la organización
Demuestra la garantía independiente de los controlesinternos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de laorganización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: lasorganizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventaja
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbitode la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y...
Leer documento completo
Regístrate para leer el documento completo.