Serie iso 27000
Páginas: 8 (1826 palabras)
Publicado: 8 de noviembre de 2011
El pasado primero de julio, ISO publicó "Technical Corrigendum", una corrección técnica para sustituir la numeración "17799" por "27002" en el documento, hasta esa fecha conocido como ISO/IEC 17799:2005.
El documento es sólo eso: una corrección en un documento de apenas una hoja, para hacer oficial el nombramiento.
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas degestión de la seguridad de la información de manera similar a lo realizado con las normas de gestión de la calidad, la serie ISO 9000.
La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
* ISO/IEC 27000: Fundamentos y vocabulario.
* ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). Esla norma más importante de la familia.
* Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
* ISO/IEC 27002: (previamente BS 7799 Parte 1 y la norma ISO/IEC 17799): Código de buenas prácticas para la gestión de Seguridad de la Información.
* ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información(SGSI). Es el soporte de la norma ISO/IEC 27001.
* ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
* ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información.
Es la que proporciona recomendaciones y lineamientos de métodos y técnicas deevaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001.
* ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma17021-1, la norma genérica de acreditación.
La Serie ISO 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es el año 2009.
Contendrá términos y definiciones que se emplean en toda la serie27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tienen-tendrán un coste.• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema degestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles quedesarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007,esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo:• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables...
El documento es sólo eso: una corrección en un documento de apenas una hoja, para hacer oficial el nombramiento.
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas degestión de la seguridad de la información de manera similar a lo realizado con las normas de gestión de la calidad, la serie ISO 9000.
La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
* ISO/IEC 27000: Fundamentos y vocabulario.
* ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). Esla norma más importante de la familia.
* Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
* ISO/IEC 27002: (previamente BS 7799 Parte 1 y la norma ISO/IEC 17799): Código de buenas prácticas para la gestión de Seguridad de la Información.
* ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información(SGSI). Es el soporte de la norma ISO/IEC 27001.
* ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
* ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información.
Es la que proporciona recomendaciones y lineamientos de métodos y técnicas deevaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001.
* ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma17021-1, la norma genérica de acreditación.
La Serie ISO 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es el año 2009.
Contendrá términos y definiciones que se emplean en toda la serie27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tienen-tendrán un coste.• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema degestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles quedesarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007,esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo:• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables...
Leer documento completo
Regístrate para leer el documento completo.