Ingeniero
Páginas: 9 (2235 palabras)
Publicado: 7 de marzo de 2011
ISO 27001
Historia
1. Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001.
La normaBS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la queestablece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
WWW.ISO27000.ES ©3En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicóla BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 ypuede adquirirse online en AENOR.
Elementos Básicos
ISO 27001:2005
0 Introducción: generalidades e introducción al método PDCA.
0.1 Generalidades
0.2 Enfoque por proceso
0.3 Compatibilidad con otros sistemas de gestión
1 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.
1.1 Generalidades
1.2 Aplicación
2 Normas paraconsulta: otras normas que sirven de referencia.
3 Términos y definiciones: breve descripción de los términos más usados en la norma.
4 Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.
4.1 Requisitos generales
4.2 Creación y gestión del SGSI
- 4.2.1 Creacióndel SGSI
- 4.2.2 Implementación y operación del SGSI
- 4.2.3 Supervisión y revisión del SGSI
- 4.2.4 Mantenimiento y mejora del SGSI
4.3 Requisitos de documentación
-4.3.1 Generalidades
-4.3.2 Control de documentos
-4.3.3 Control de registros
5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación...
Historia
1. Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001.
La normaBS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la queestablece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
WWW.ISO27000.ES ©3En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicóla BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 ypuede adquirirse online en AENOR.
Elementos Básicos
ISO 27001:2005
0 Introducción: generalidades e introducción al método PDCA.
0.1 Generalidades
0.2 Enfoque por proceso
0.3 Compatibilidad con otros sistemas de gestión
1 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.
1.1 Generalidades
1.2 Aplicación
2 Normas paraconsulta: otras normas que sirven de referencia.
3 Términos y definiciones: breve descripción de los términos más usados en la norma.
4 Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.
4.1 Requisitos generales
4.2 Creación y gestión del SGSI
- 4.2.1 Creacióndel SGSI
- 4.2.2 Implementación y operación del SGSI
- 4.2.3 Supervisión y revisión del SGSI
- 4.2.4 Mantenimiento y mejora del SGSI
4.3 Requisitos de documentación
-4.3.1 Generalidades
-4.3.2 Control de documentos
-4.3.3 Control de registros
5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación...
Leer documento completo
Regístrate para leer el documento completo.