tesis
Páginas: 5 (1068 palabras)
Publicado: 11 de noviembre de 2013
ISO/IEC 27001
Es un estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitosnecesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrolladapor la entidad de normalización británica, la British Standards Institution (BSI).
Evolución
España
En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.
Con la publicación deUNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
Beneficios
Puede aportar las siguientes ventajas a la organización:
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa yde continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demuestrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluadosy gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o lasrecomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventajas.
Implantación [editar]
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema deGestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo elmás importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formadopor representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de...
Es un estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitosnecesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrolladapor la entidad de normalización británica, la British Standards Institution (BSI).
Evolución
España
En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.
Con la publicación deUNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
Beneficios
Puede aportar las siguientes ventajas a la organización:
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa yde continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demuestrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluadosy gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o lasrecomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventajas.
Implantación [editar]
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema deGestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo elmás importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formadopor representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de...
Leer documento completo
Regístrate para leer el documento completo.