coco
Páginas: 3 (509 palabras)
Publicado: 30 de octubre de 2014
ISO 27004
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, quéparámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito. La medición de la seguridad aporta protección a los sistemas de la organización y darespuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel deintegración de la seguridad de la información en los procesos de la propia organización.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:-Selección procesos y objetos de medición. Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se consideran en la medición los procesos bien documentados que son consistentes yrepetibles. Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el comportamiento del personal.
-Definición de las líneas base. Los valores base que muestran el puntode referencia deben definirse para cada objeto que se está midiendo.
-Recopilación de datos. Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas automatizadas derecogida de datos para lograr una recolección estandarizada y presentar informes.
-Desarrollo de un método de medición. Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributosdel objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para mejorar el rendimiento de los programas de seguridad de la información.
-Interpretación de los valoresmedidos. Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben identificar las brechas entre el valor inicial y el valor de medición real.
-Comunicación de...
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, quéparámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito. La medición de la seguridad aporta protección a los sistemas de la organización y darespuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel deintegración de la seguridad de la información en los procesos de la propia organización.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:-Selección procesos y objetos de medición. Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se consideran en la medición los procesos bien documentados que son consistentes yrepetibles. Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el comportamiento del personal.
-Definición de las líneas base. Los valores base que muestran el puntode referencia deben definirse para cada objeto que se está midiendo.
-Recopilación de datos. Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas automatizadas derecogida de datos para lograr una recolección estandarizada y presentar informes.
-Desarrollo de un método de medición. Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributosdel objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para mejorar el rendimiento de los programas de seguridad de la información.
-Interpretación de los valoresmedidos. Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben identificar las brechas entre el valor inicial y el valor de medición real.
-Comunicación de...
Leer documento completo
Regístrate para leer el documento completo.