La serie de normas ISO/IEC 27000 son estándares de
seguridad publicados por la Organización Internacional para
la Estandarización (ISO) y la Comisión Electrotécnica
Internacional (IEC). La serie contiene las mejores prácticas
recomendadas en Seguridad de la información para
desarrollar, implementar y mantener Especificaciones para
los Sistemas de Gestión de la Seguridad de la Información
(SGSI)
Esta Norma Internacional proporciona una visión
general de los sistemas de gestión de seguridad
de la información, y términos y definiciones de
uso común en la familia de normas de SGSI.
Algunos términos y definiciones:
Control de acceso - Modelo analítico -
Ataque - Atributo - Auditoria -
Alcance auditoria - Autenticación -
Autenticidad - Disponibilidad -
Medida de la base - Competencia -
Confidencialidad - Conformidad -
Consecuencia - Mejora continua -
Control
El sistema de gestión de seguridad de la información es
aplicado a las organizaciones de todos los tipos y
tamaños: a) recoger, procesar, almacenar y transmitir
información; b) reconocen que la información y los
procesos relacionados, los sistemas, las redes y las
personas son importantes activos para alcanzar los
objetivos de la organización; c) se enfrentan a una serie
de riesgos que pueden afectar el funcionamiento de los
activos; y d) abordar su exposición al riesgo percibido por
la implementación de los controles de seguridad de la
información.
Toda la información en poder y procesada por
una organización es objeto de amenazas de
ataque, el error, la naturaleza (por ejemplo,
inundaciones o incendios), etc., y está sujeta a
las vulnerabilidades inherentes a su utilización.
El término información la seguridad se basa
generalmente en la información que se
considera como un activo que tiene un valor que
requiere la protección adecuada
Como los riesgos de seguridad de la
información y la eficacia de los controles de
cambio en función de desplazamiento
circunstancias, las organizaciones necesitan: a)
supervisar y evaluar la eficacia de los controles
y procedimientos implementados; b) identificar
los riesgos a tratar emergentes; y c)
seleccionar, implementar y mejorar los
controles adecuados, según sea necesario
Un Sistema de Información de Gestión de la
Seguridad (SGSI) consiste en las políticas,
procedimientos, directrices, y asociada
recursos y actividades, colectivamente
gestionadas por una organización, en la
búsqueda de la protección de sus activos de
información.
es un enfoque sistemático para establecer,
implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la
información de una organización para
alcanzar los objetivos de negocio.
Se basa en una evaluación de riesgos y la
aceptación de riesgos de la organización
La información es un activo que, al
igual que otros activos comerciales
importantes, es esencial para una
organización de negocio y en
consecuencia debe ser protegido
adecuadamente
Seguridad de la información incluye tres
dimensiones principales: la
confidencialidad, disponibilidad e integridad