cambios norma iso 27001 2013
Páginas: 5 (1101 palabras)
Publicado: 13 de octubre de 2015
Durante este mes de octubre BSI publicó la revisión del estándar internacional ISO/IEC-27001:2013, ya desde marzo de este año se habían publicado algunos borradores del nuevo estándar, a continuación vamos a enumerar algunos de los principales cambios incluidos en esta nueva versión.
Para comenzar, se realizaron cambios en su contenido, agregando y eliminando controles,reestructurandoespecialmente el Anexo “A” donde se aumenta a 14 los dominios de control y se reduce en 20 la cantidad de controles quedando en 113.
Esta nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Estanueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura:
En los primeros tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además se define el alcance que tiene la normativa para poder certificar, centrándose en los requisitos cubiertos en los capítulos 4a 10, y si bien ISO-27002 deja de ser una referencia normativa aún es necesaria para implementar este estándar.
En el capítulo 4 Contexto de la organización se resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización. De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas y que deben estar en elalcance del SGSI. En el capítulo 5 Liderazgo, se definen las responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los recursos necesarios para la implementación del sistema.
Dentro del capítulo 6 Planeación, se priorizala definición de objetivos de seguridad claros que permita relacionar planes específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el enfoque se orienta hacia la identificación de aquellos riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, donde el nivel de riesgo aceptable se debe definir en función de la probabilidad deocurrencia del riesgo y las consecuencias generadas en caso de que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se relacionan los requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema.
Dentro de los capítulos 4 al 7 se enmarca la etapa de Planeación del sistema. El capítulo 8Operación, se asocia ala etapa Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las operaciones y requerimientos de seguridad, siendo el las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a los activos de información, las vulnerabilidades y las amenazas se utilizan para identificar los riesgos asociados con la confidencialidad,integridad y disponibilidad.
El capítulo 9 Evaluación del desempeño se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades. Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas establecerlas acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan.
Si bien estas actualizaciones de estándares no incorporan cambios radicales en la forma que se gestiona la seguridad la información, sí se involucran nuevos conceptos y enfoques que mejoran y facilitan la implementación, además de adaptarse a la evolución de la tecnología y permitir enfocar los...
Para comenzar, se realizaron cambios en su contenido, agregando y eliminando controles,reestructurandoespecialmente el Anexo “A” donde se aumenta a 14 los dominios de control y se reduce en 20 la cantidad de controles quedando en 113.
Esta nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Estanueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura:
En los primeros tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además se define el alcance que tiene la normativa para poder certificar, centrándose en los requisitos cubiertos en los capítulos 4a 10, y si bien ISO-27002 deja de ser una referencia normativa aún es necesaria para implementar este estándar.
En el capítulo 4 Contexto de la organización se resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización. De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas y que deben estar en elalcance del SGSI. En el capítulo 5 Liderazgo, se definen las responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los recursos necesarios para la implementación del sistema.
Dentro del capítulo 6 Planeación, se priorizala definición de objetivos de seguridad claros que permita relacionar planes específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el enfoque se orienta hacia la identificación de aquellos riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, donde el nivel de riesgo aceptable se debe definir en función de la probabilidad deocurrencia del riesgo y las consecuencias generadas en caso de que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se relacionan los requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema.
Dentro de los capítulos 4 al 7 se enmarca la etapa de Planeación del sistema. El capítulo 8Operación, se asocia ala etapa Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las operaciones y requerimientos de seguridad, siendo el las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a los activos de información, las vulnerabilidades y las amenazas se utilizan para identificar los riesgos asociados con la confidencialidad,integridad y disponibilidad.
El capítulo 9 Evaluación del desempeño se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades. Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas establecerlas acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan.
Si bien estas actualizaciones de estándares no incorporan cambios radicales en la forma que se gestiona la seguridad la información, sí se involucran nuevos conceptos y enfoques que mejoran y facilitan la implementación, además de adaptarse a la evolución de la tecnología y permitir enfocar los...
Leer documento completo
Regístrate para leer el documento completo.