ISO 27001
Páginas: 9 (2154 palabras)
Publicado: 7 de abril de 2013
ISO-27001:2005
Giovanni Zuccardi
Juan David Gutiérrez
Septiembre de 2006
CONTENIDO
Evolución del estándar
Familia 2700x
En que consiste 27001
ISO-27001:2005
Evolución del estándar
1995 BS 7799-1:1995 (Norma británica)
1999 BS 7799-2:1999 (Norma británica)
1999 Revisión BS 7799-1:1999
2000 ISO/IEC17799:2000 (Norma internacional código de prácticas)
2002 Revisión BS 7799-2:2002
2004 UNE 71502 (Norma española) UNE ISO 27001:
2005 Revisión ISO/IEC 17799:2005
2005 Revisión BS 7799-2:2005
2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información yaplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Se debe dejar claro que este es la versión actual del ISO-17799:2002.
La ISO 27001 le permite:
1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
2. A la direccióngestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
3. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias,garantizando la continuidad del negocio
[ICONTEC06].
Familia 2700x
El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son:
ISO 27000 (2007) Vocabulario y Definiciones
ISO 27001 (2005) Estándar Certificable ya en Vigor (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005
ISO 27002 (2007) Código de Buenas Prácticas relevo deISO 17799 Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005
ISO 27003 (2008) Guía para la Implantación (bajo desarrollo)
ISO 27004 (2008) Métricas e Indicadores(bajo desarrollo)
ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006)
ISO 27006 (2007) Continuidad de Negocio / Recuperación Desastres (BC/DR)
En que consiste
La propuesta de esta norma, no está orientada adespliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)”. ElISMS, es el punto fuerte de este estándar.
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
- ISMS.
- Valoración de riegos (Risk Assesment)
- Controles
El desarrollo de estos puntos y la documentación que generan, será tratado continuación. Se tendrá en cuanta la misma enumeración y los puntos que se desarrollan en la norma
0.Introducción:
0.1 General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y laestructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones.
0.2. Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita...
ISO-27001:2005
Giovanni Zuccardi
Juan David Gutiérrez
Septiembre de 2006
CONTENIDO
Evolución del estándar
Familia 2700x
En que consiste 27001
ISO-27001:2005
Evolución del estándar
1995 BS 7799-1:1995 (Norma británica)
1999 BS 7799-2:1999 (Norma británica)
1999 Revisión BS 7799-1:1999
2000 ISO/IEC17799:2000 (Norma internacional código de prácticas)
2002 Revisión BS 7799-2:2002
2004 UNE 71502 (Norma española) UNE ISO 27001:
2005 Revisión ISO/IEC 17799:2005
2005 Revisión BS 7799-2:2005
2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información yaplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Se debe dejar claro que este es la versión actual del ISO-17799:2002.
La ISO 27001 le permite:
1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
2. A la direccióngestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
3. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias,garantizando la continuidad del negocio
[ICONTEC06].
Familia 2700x
El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son:
ISO 27000 (2007) Vocabulario y Definiciones
ISO 27001 (2005) Estándar Certificable ya en Vigor (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005
ISO 27002 (2007) Código de Buenas Prácticas relevo deISO 17799 Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005
ISO 27003 (2008) Guía para la Implantación (bajo desarrollo)
ISO 27004 (2008) Métricas e Indicadores(bajo desarrollo)
ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006)
ISO 27006 (2007) Continuidad de Negocio / Recuperación Desastres (BC/DR)
En que consiste
La propuesta de esta norma, no está orientada adespliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)”. ElISMS, es el punto fuerte de este estándar.
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
- ISMS.
- Valoración de riegos (Risk Assesment)
- Controles
El desarrollo de estos puntos y la documentación que generan, será tratado continuación. Se tendrá en cuanta la misma enumeración y los puntos que se desarrollan en la norma
0.Introducción:
0.1 General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y laestructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones.
0.2. Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita...
Leer documento completo
Regístrate para leer el documento completo.