Iso 27001
Páginas: 21 (5176 palabras)
Publicado: 14 de agosto de 2011
La información es un activo vital para el éxito y la continuidad en el mercado de
cualquier organización. El aseguramiento de dicha información y de los sistemas que
la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentaday basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que está
sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollopor
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad
de lainformación utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y
se indica cómo puede una organización implantar un sistema de gestión de seguridad
de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda odescargue en .pdf el documento completo.
1. Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahoraOHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2),
publicada porprimera vez en 1998, la que establece los requisitos de un sistema de
seguridad de la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de
sistemas degestión.
WWW.ISO27000.ES ©
3
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de
2007, manteniendo el contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a lapublicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
historia de ISO 27001 e ISO 17799.
2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
Los rangos de numeración reservados por ISO van de 27000a 27019 y de 27030 a
27044.
• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de
2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La
aplicación de cualquier estándar necesita de un vocabulario claramente definido, que
evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está
previsto que sea gratuita, adiferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,...
cualquier organización. El aseguramiento de dicha información y de los sistemas que
la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentaday basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que está
sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollopor
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad
de lainformación utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y
se indica cómo puede una organización implantar un sistema de gestión de seguridad
de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda odescargue en .pdf el documento completo.
1. Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahoraOHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2),
publicada porprimera vez en 1998, la que establece los requisitos de un sistema de
seguridad de la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de
sistemas degestión.
WWW.ISO27000.ES ©
3
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de
2007, manteniendo el contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a lapublicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
historia de ISO 27001 e ISO 17799.
2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
Los rangos de numeración reservados por ISO van de 27000a 27019 y de 27030 a
27044.
• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de
2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La
aplicación de cualquier estándar necesita de un vocabulario claramente definido, que
evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está
previsto que sea gratuita, adiferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,...
Leer documento completo
Regístrate para leer el documento completo.