Estandares ISO
Páginas: 5 (1019 palabras)
Publicado: 21 de noviembre de 2013
Los estándares internacionales relacionados con el uso e implementación de las tecnologías de información y comunicación.
La Organización Internacional para la Estandarización o ISO, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su funciónprincipal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
En lo referente a los estándares internacionales relacionados con el uso e implementación de las tecnologías de información y comunicación, se han desarrollado y publicado una serie de normas ISO orientadas a las Tecnologías de Información y Comunicacionesrelativas a la gestión y supervisión de los Centros de Proceso de Datos.
Estas normas internacionales, aprobadas con el consenso de 145 países y de acceso libre a cualquier organización, han recogido las buenas prácticas y han definido y elaborado una serie de requisitos, que basándose en los Sistemas de Gestión tradicionales, vienen a facilitar el uso e implementación de las tecnologías de informacióny comunicación.
Entre las más importantes destacan;
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión InternationalElectrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en lanorma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de laserie y la relación entre los diferentes documentos que la conforman.
UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones.En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: En fase dedesarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004: Publicada en diciembre de 2009. Especifica lasmétricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.
ISO 27006:...
La Organización Internacional para la Estandarización o ISO, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su funciónprincipal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
En lo referente a los estándares internacionales relacionados con el uso e implementación de las tecnologías de información y comunicación, se han desarrollado y publicado una serie de normas ISO orientadas a las Tecnologías de Información y Comunicacionesrelativas a la gestión y supervisión de los Centros de Proceso de Datos.
Estas normas internacionales, aprobadas con el consenso de 145 países y de acceso libre a cualquier organización, han recogido las buenas prácticas y han definido y elaborado una serie de requisitos, que basándose en los Sistemas de Gestión tradicionales, vienen a facilitar el uso e implementación de las tecnologías de informacióny comunicación.
Entre las más importantes destacan;
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión InternationalElectrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en lanorma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de laserie y la relación entre los diferentes documentos que la conforman.
UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones.En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: En fase dedesarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004: Publicada en diciembre de 2009. Especifica lasmétricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.
ISO 27006:...
Leer documento completo
Regístrate para leer el documento completo.