Iso 27000
Páginas: 11 (2647 palabras)
Publicado: 30 de junio de 2010
SERIE ISO 27000.
Kimberly Melissa Chacaliaza López
e-mail: Kimberly_chacaliaza@hotmail.com
RESUMEN: El presente trabajo se basará en los estándares de la Organización Internacional de Estándares, de la serie 27000 que tratan los temas de los sistemas de gestión de la seguridad de la información, dichos estándares se fundamentan en el ISO 17799 que aporta las pautas, fases, dominios,objetivos de control, etc. sobre el resguardo de la información en cualquier organización. Cabe resaltar que todos los procedimientos sugeridos en casa estándar no necesariamente tienen que implementarse.
INTRODUCCIÓN
La información, hoy en día, se ha convertido en uno de los activos más importantes en aquellas organizaciones que pretenden alcanzar el éxito. Este cambio de mentalidad obliga abuscar formas de mantener segura la información, para esto, organizaciones internacionales han formulado métodos para resguardar la información, siendo apropiados y acoplables para cualquier tipo de organización.
Estos métodos están plasmados en los ISO’s de la seria 27000, que proveen códigos de buenas prácticas para gestionar la seguridad de la información, además de cómo medir laeficacia del SGSI y una guía de auditoría para evaluar dicho SGSI, de manera que se pueda corregir a tiempo y disminuir los riesgos que corre la información.
ISO 27001
WWWO27000.ES ©
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma conarreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para quesean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007.
1 DOMINIOS
1.Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
2. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización queestablezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
3. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
4. Seguridad delpersonal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes.
5.Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
6. Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
• Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
• Minimizar el riesgo de falla de los sistemas.
•...
Kimberly Melissa Chacaliaza López
e-mail: Kimberly_chacaliaza@hotmail.com
RESUMEN: El presente trabajo se basará en los estándares de la Organización Internacional de Estándares, de la serie 27000 que tratan los temas de los sistemas de gestión de la seguridad de la información, dichos estándares se fundamentan en el ISO 17799 que aporta las pautas, fases, dominios,objetivos de control, etc. sobre el resguardo de la información en cualquier organización. Cabe resaltar que todos los procedimientos sugeridos en casa estándar no necesariamente tienen que implementarse.
INTRODUCCIÓN
La información, hoy en día, se ha convertido en uno de los activos más importantes en aquellas organizaciones que pretenden alcanzar el éxito. Este cambio de mentalidad obliga abuscar formas de mantener segura la información, para esto, organizaciones internacionales han formulado métodos para resguardar la información, siendo apropiados y acoplables para cualquier tipo de organización.
Estos métodos están plasmados en los ISO’s de la seria 27000, que proveen códigos de buenas prácticas para gestionar la seguridad de la información, además de cómo medir laeficacia del SGSI y una guía de auditoría para evaluar dicho SGSI, de manera que se pueda corregir a tiempo y disminuir los riesgos que corre la información.
ISO 27001
WWWO27000.ES ©
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma conarreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para quesean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007.
1 DOMINIOS
1.Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
2. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización queestablezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
3. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
4. Seguridad delpersonal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes.
5.Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
6. Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
• Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
• Minimizar el riesgo de falla de los sistemas.
•...
Leer documento completo
Regístrate para leer el documento completo.