ISO 27000

Description

d
luzangela1225
Mind Map by luzangela1225, updated more than 1 year ago
luzangela1225
Created by luzangela1225 over 8 years ago
167
0

Resource summary

ISO 27000
  1. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.
    1. • ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
      1. A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
      2. • ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
        1. esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. WWW.ISO27000.ES © 4 Otros países donde también está publicada en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org.
          1. ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.
            1. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
              1. primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
                1. ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande.
                  1. ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento
                  2. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
                    1. . No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
                      1. Los "lineamientos establecidos y los principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información dentro de una organización" estándar.
                        1. Los controles reales que figuran en la norma están destinadas a atender las necesidades específicas identificadas a través de una evaluación de riesgos formal.
                          1. Los controles reales que figuran en la norma están destinadas a atender las necesidades específicas identificadas a través de una evaluación de riesgos formal.
                            1. Por último, cabe señalar que en los últimos años se han desarrollado una serie de versiones específicas de la industria de la norma ISO 27002, o se encuentran en fase de desarrollo, (por ejemplo: sector de la salud, manufactura, etc.).
                            2. ISO 27003 es un estándar internacional que constituye una guía para la implantación de un SGSI.Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.
                              1. ISO-27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.
                                1. Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cómo abordar la planificación de la gestión para implementar el SGSI.
                                  1. La norma tiene el siguiente contenido:Alcance.Referencias Normativas.Términos y Definiciones.Estructura de esta Norma.Obtención de la aprobación de la alta dirección para iniciar un SGSI.Definición del alcance del SGSI, límites y políticas.Evaluación de requerimientos de seguridad de la información.Evaluación de Riesgos y Plan de tratamiento de riesgos.Diseño del SGSI.
                                  2. ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
                                    1. El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.
                                      1. ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización.
                                        1. Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:
                                          1. Selección procesos y objetos de medición.
                                            1. Definición de las líneas base.
                                              1. Recopilación de datos.
                                                1. Desarrollo de un método de medición.
                                                  1. Interpretación de los valores medidos.
                                                    1. Comunicación de los valores de medición.
                                                    2. ISO/IEC 27005:2008 proporciona una guía para la gestión del riesgo en un sistema de seguridad de la información. Soporta los conceptos definidos en la ISO/IEC 27001 y está diseñado para ayudar a la implementación de un sistema de seguridad de la información basado en la gestión del riesgo.
                                                      1. Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información.
                                                        1. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos
                                                          1. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro)
                                                        2. ISO 27006 tiene como título oficial “Tecnología de la información -. Técnicas de seguridad Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad
                                                          1. El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI.
                                                            1. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.
                                                              1. ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información.
                                                              2. ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.
                                                                1. La gestión del programa de auditoría del SGSI: establecer qué, cuándo y cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos de auditoría, mantenimiento de los registros de la misma, mejora continua del proceso
                                                                  1. Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.
                                                                    1. Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación
                                                                      1. Confirmar que los controles de seguridad de la información mitigan de forma correcta los riesgos de la organización.
                                                                        1. Verificar que los controles de seguridad en relación con la contabilidad general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.
                                                                          1. Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.
                                                                            1. Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.
                                                                              1. Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.
                                                                              Show full summary Hide full summary

                                                                              Similar

                                                                              ISO 27000
                                                                              duvan olarte
                                                                              Cuestionario Seguridad Informática
                                                                              juanma garcia dueñas
                                                                              ISO 26001 - 2010 Responsabilidad social
                                                                              EdsonYR
                                                                              ENSAYO DEL SISTEMA DE GESTIÓN DE CALIDAD
                                                                              arimera12
                                                                              CONOCIMIENTOS SOBRE ISO 9001:2015
                                                                              Johanna De Jesus
                                                                              las ISO 27000, mapa mental
                                                                              cantors55
                                                                              ISO. UD3 (TEST)
                                                                              Javier Peiro
                                                                              NORMAS Y AUDITORIA ISO 9000
                                                                              Ismael Betancourt Martínez
                                                                              ISO. UD2 (TEST)
                                                                              Javier Peiro