iso 2700
conforme a la norma
ISO/IEC 27001
Gabriel Díaz Orueta
Política de seguridad mediante ISO
27001 Gabriel Díaz Orueta
1
La política de seguridad conforme a
la norma ISO/IEC 27001
1- Introducción
2- La familia de normas 2700x
3- El estándar ISO 27001
4- Implantación y certificación
Política de seguridad mediante ISO 27001
Gabriel Díaz Orueta
21I
N
T
R
O
D
U
C
C
I
Ó
N
ISO 27000: la punta del
iceberg
Hay ya una gran cantidad de estándares y normas técnicas
sobre diversos asuntos relacionados con la seguridad
informática:
- Firma digital
- Seguridad de redes
- Cifrado (algoritmos,
- No repudio
modos de operación,
- Números primos
gestión de claves)
- Evaluación de seguridad de
- Autenticación de entidades
losproductos
- Funciones hash
- Gestión de incidentes de
- Detección de intrusiones
seguridad
- Actividades de forensia TI
- Time-stamping
- Message authentication codes
Política de seguridad mediante ISO 27001
Gabriel Díaz Orueta
3
Algo de Historia
• 1992: El “Department of Trade and Industry (DTI)”, parte del gobierno del
Reino Unido, publica su 'Code of Practice forInformation Security
Management'.
• 1995: Este documento es reformado y republicado por el British Standards
Institute (BSI) en 1995 como BS- 7799.
• 1996: Empiezan a surgir herramientas y soporte, como COBRA.
• 1999: Se publica la primera gran revisión del BS-7799. Se ponen en marcha
esquemas de certificación y de acreditación, como los del propio BSI.
Política de seguridad mediante ISO27001
Gabriel Díaz Orueta
4
Un poco de historia
•
•
•
•
•
2000: En Diciembre, se republica BS7799 como un estándar ISO “fast
tracked”. Se convierte en ISO 17799 (más formalmente ISO/IEC 17799).
2001: Se pone en marcha el 'ISO 17799 Toolkit'.
2002: Se publica una segunda parte del estándar: BS7799-2. Esta vez se
trata de una especificación de Gestión de la Seguridad, más que uncódigo
de buenas prácticas. Se pone en marcha el proceso de alineamiento con
otras normas de gestión, como ISO 9000.
2005: Se publica una nueva versión de ISO 17799, que incluye dos nuevas
secciones y un alineamiento mayor con los procesos de BS7799-2
2005: Se publica ISO 27001 como reemplazo de BS7799-2, que es retirado.
Se trata de una especificación para un “ISMS (information securitymanagement system)”, alineado con ISO 17799 y compatible con ISO 9001
e ISO 14001.
Política de seguridad mediante ISO 27001
Gabriel Díaz Orueta
5
1995
1996
1999
2000
2002
2005
BS7799:1995
ISO 14980:1996
BS7799-1:1999
ISO/IEC 17799:2000
UNE/ISO 17799:2002
ISO 27001:2005
ISO 27002:2005
2007-11-28
UNE-ISO/IEC 27001:2007
Política de seguridad mediante ISO 27001Gabriel Díaz Orueta
6
La Historia más cercana…
INTECO se convierte en la primera sociedad anónima estatal en obtener la
certificación ISO 27001.
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha confiado en
GMV y Applus+ para la implantación y certificación de su Sistema de Gestión de
Seguridad de la Información (SGSI) según la norma ISO 27001.
Con la obtención deesta certificación, INTECO se convierte en la primera Sociedad
Anónima Estatal que implanta y certifica su Sistema de Gestión de Seguridad
de la Información, afianzándose como centro de excelencia y modelo de gestión.
Bajo los auspicios del Ministerio de Industria, Turismo y Comercio, este instituto
ubicado en León promueve el desarrollo de la Sociedad del Conocimiento a través
de proyectosde innovación y tecnología.
17/02/09 - ISO 27001: ¿Hacia un
cumplimiento obligatorio?
Política de seguridad mediante ISO 27001
Gabriel Díaz Orueta
7
Japan
India
484
UK
407
Taiwan
386
China
251
Germany
135
Korea
106
USA
95
Czech Republic
85
Hungary
66
Italy
58
Poland
40
Spain
39
Austria
32
Hong Kong
31...
Regístrate para leer el documento completo.