Iso 27000 sistema de seguridad de la informacion
Páginas: 36 (8758 palabras)
Publicado: 11 de enero de 2011
ISO 27000 SISTEMA DE SEGURIDAD DE LA INFORMACION
ISO/IEC 27000 es un conjunto de estándares publicados (o en desarrollo) por ISO ( Internacional Organization for Standardization) y por la comisión IEC (International Electrotechnical Commission) . Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar unSistema de Gestión de la Seguridad de la Información (SGSI)con la finalidad de alcanzar un óptimo nivel de seguridad de la información en donde los riesgos se minimizan.
[pic]
Introducción
La familia ISO 27000 pone a nuestra disposición una serie de documentos referentes a la Gestión de la Seguridad de la Información. La información es un recurso que como el resto de los importantes activos comerciales, tiene valor para una organización y porconsiguiente debe ser debidamente protegida de una amplia gama de amenazas. Puede existir en muchas formas.
Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o
almacena, siempre debe ser protegida en forma adecuada.
Podríamos definir la gestión de la seguridad de la información cómo el método capaz de preservar la confidencialidad (que la información seaaccesible sólo a aquellas personas autorizadas a tener acceso a ella), la integridad (salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento) y la disponibilidad (que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera).
La seguridad de la información se logra implementando un conjunto adecuado decontroles, que abarcan políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.
Se deben establecer estos controles para garantizar que se logren los objetivos específicos de
seguridad de la organización.
[pic]
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
Institution, la organización inglesaequivalente a la AENOR española) es responsable de la
publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9000
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS7799 de BSI aparece por primera vez en 1995, con objeto de preparar a cualquier
empresa -británica o no- en la certificación de la gestión de la seguridad de suinformación por
medio de una auditoria realizada por un auditor acreditado y externo. El gobierno del Reino Unido recomendó como parte de su Ley de Protección de la Información que las compañías británicas utilizasen BS7799 como método de cumplimiento de la Ley. La primera parte de la norma (BS7799-1) es una guía de buenas prácticas, para la que no se establece un modelo de certificación.
Es lasegunda parte (BS7799-2) la que se audita y certifica en aquellas empresas solicitantes que hayan desarrollado un SGSI (Sistema de Gestión de Seguridad de la Información) según el
conocido modelo PDCA (acrónimo inglés de Plan-Do-Check-Act: Planificar-Hacer-Verificar-
Actuar), ya presentado en otros estándares como ISO9000, y que asegura la adaptación continua de la seguridad a los requisitossiempre cambiantes de la empresa y su entorno.
Las dos partes de la norma BS7799 se revisaron en 1999 y la primera parte se adopta por ISO, sin cambios sustanciales, como ISO17799 en el año 2000, con una acogida de más de 80.000 empresas.
En 2005, y con más de 1700 empresas certificadas en BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001, junto a la primera revisiónformal realizada en ese mismo año de ISO17799. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Servirá probablemente de base a la ISO27005, que tardará aún algún tiempo en editarse.
[pic]
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de...
ISO/IEC 27000 es un conjunto de estándares publicados (o en desarrollo) por ISO ( Internacional Organization for Standardization) y por la comisión IEC (International Electrotechnical Commission) . Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar unSistema de Gestión de la Seguridad de la Información (SGSI)con la finalidad de alcanzar un óptimo nivel de seguridad de la información en donde los riesgos se minimizan.
[pic]
Introducción
La familia ISO 27000 pone a nuestra disposición una serie de documentos referentes a la Gestión de la Seguridad de la Información. La información es un recurso que como el resto de los importantes activos comerciales, tiene valor para una organización y porconsiguiente debe ser debidamente protegida de una amplia gama de amenazas. Puede existir en muchas formas.
Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o
almacena, siempre debe ser protegida en forma adecuada.
Podríamos definir la gestión de la seguridad de la información cómo el método capaz de preservar la confidencialidad (que la información seaaccesible sólo a aquellas personas autorizadas a tener acceso a ella), la integridad (salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento) y la disponibilidad (que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera).
La seguridad de la información se logra implementando un conjunto adecuado decontroles, que abarcan políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.
Se deben establecer estos controles para garantizar que se logren los objetivos específicos de
seguridad de la organización.
[pic]
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
Institution, la organización inglesaequivalente a la AENOR española) es responsable de la
publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9000
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS7799 de BSI aparece por primera vez en 1995, con objeto de preparar a cualquier
empresa -británica o no- en la certificación de la gestión de la seguridad de suinformación por
medio de una auditoria realizada por un auditor acreditado y externo. El gobierno del Reino Unido recomendó como parte de su Ley de Protección de la Información que las compañías británicas utilizasen BS7799 como método de cumplimiento de la Ley. La primera parte de la norma (BS7799-1) es una guía de buenas prácticas, para la que no se establece un modelo de certificación.
Es lasegunda parte (BS7799-2) la que se audita y certifica en aquellas empresas solicitantes que hayan desarrollado un SGSI (Sistema de Gestión de Seguridad de la Información) según el
conocido modelo PDCA (acrónimo inglés de Plan-Do-Check-Act: Planificar-Hacer-Verificar-
Actuar), ya presentado en otros estándares como ISO9000, y que asegura la adaptación continua de la seguridad a los requisitossiempre cambiantes de la empresa y su entorno.
Las dos partes de la norma BS7799 se revisaron en 1999 y la primera parte se adopta por ISO, sin cambios sustanciales, como ISO17799 en el año 2000, con una acogida de más de 80.000 empresas.
En 2005, y con más de 1700 empresas certificadas en BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001, junto a la primera revisiónformal realizada en ese mismo año de ISO17799. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Servirá probablemente de base a la ISO27005, que tardará aún algún tiempo en editarse.
[pic]
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de...
Leer documento completo
Regístrate para leer el documento completo.