Introducción a las normas iso 27001
Páginas: 7 (1750 palabras)
Publicado: 18 de febrero de 2011
¿QUÉ ES ISO 27001?
ISO/IEC 27001 es una norma desarrollada por ISO (Internacional Organization for Standardization) e IEC (International Electrotechnical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Está orientada a aspectos netamente organizativos, por ello propone todauna secuencia de acciones tendientes al establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System).
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
✓ ISMS
✓ Valoración de riegos (Risk Assesment)
✓ Controles
FAMILIA DE LAS ISO 27000
ISO 27001Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan, Do, Check, Act) al igual que otras normas de sistemas de gestión. Es un estándar certificable, cualquier organización que tenga implantado un SGSI según este modelo puedesolicitar una auditoría externa y, tras superar con éxito la misma, recibir la certificación en ISO 27001.
ISO 27002
Su origen está en la norma de BSI (British Standards Institution) BS7799 Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. No es certificable.
ISO 27003
Consiste en una guía de implementación de SGSI e información acercadel uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004
Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricasse usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005
Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en unenfoque de gestión de riesgos. Es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la seguridad de la información.
ISO 27006
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditaciónde entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditaciónpor sí misma.
ISO 27007
Consiste en una guía de auditoría de un SGSI.
ISO 27011
Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031
Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032Consiste en una guía relativa a la cyberseguridad.
ISO 27033
En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones...
ISO/IEC 27001 es una norma desarrollada por ISO (Internacional Organization for Standardization) e IEC (International Electrotechnical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Está orientada a aspectos netamente organizativos, por ello propone todauna secuencia de acciones tendientes al establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System).
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
✓ ISMS
✓ Valoración de riegos (Risk Assesment)
✓ Controles
FAMILIA DE LAS ISO 27000
ISO 27001Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan, Do, Check, Act) al igual que otras normas de sistemas de gestión. Es un estándar certificable, cualquier organización que tenga implantado un SGSI según este modelo puedesolicitar una auditoría externa y, tras superar con éxito la misma, recibir la certificación en ISO 27001.
ISO 27002
Su origen está en la norma de BSI (British Standards Institution) BS7799 Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. No es certificable.
ISO 27003
Consiste en una guía de implementación de SGSI e información acercadel uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004
Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricasse usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005
Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en unenfoque de gestión de riesgos. Es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la seguridad de la información.
ISO 27006
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditaciónde entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditaciónpor sí misma.
ISO 27007
Consiste en una guía de auditoría de un SGSI.
ISO 27011
Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031
Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032Consiste en una guía relativa a la cyberseguridad.
ISO 27033
En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones...
Leer documento completo
Regístrate para leer el documento completo.