Norma iso 27001
CONTENIDO
Evolución del estándar
Familia 2700x
En que consiste 27001
ISO-27001:2005
Evolución del estándar
1995 BS 7799-1:1995 (Norma británica)
1999 BS 7799-2:1999 (Norma británica)
1999 Revisión BS 7799-1:1999
2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas)
2002 Revisión BS 7799-2:2002
2004 UNE 71502 (Norma española) UNE ISO 27001:
2005Revisión ISO/IEC 17799:2005
2005 Revisión BS 7799-2:2005
2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Se debe dejar claro que este es la versión actual delISO-17799:2002.
La ISO 27001 le permite:
1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
2. A la dirección gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
3. Determinar y analizarlos riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio
[ICONTEC06].
Familia 2700x
El conjunto de estándares que aportan información de la familia ISO-2700xque se puede tener en cuenta son:
• ISO 27000 (2007) Vocabulario y Definiciones
• ISO 27001 (2005) Estándar Certificable ya en Vigor (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005
• ISO 27002 (2007) Código de Buenas Prácticas relevo de ISO 17799 Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005
• ISO 27003 (2008) Guía para la Implantación(bajo desarrollo)
• ISO 27004 (2008) Métricas e Indicadores(bajo desarrollo)
• ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006)
• ISO 27006 (2007) Continuidad de Negocio / Recuperación Desastres (BC/DR)
En que consiste
La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la fraseque podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)”. El ISMS, es el punto fuerte de este estándar.
Los detalles que conforman el cuerpo de esta norma, se podríanagrupar en tres grandes líneas:
- ISMS.
- Valoración de riegos (Risk Assesment)
- Controles
El desarrollo de estos puntos y la documentación que generan, será tratado continuación. Se tendrá en cuanta la misma enumeración y los puntos que se desarrollan en la norma
0. Introducción:
0.1 General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento,implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada delmismo, necesitando la misma dinámica para las soluciones.
0.2. Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que...
Regístrate para leer el documento completo.