ISO/IEC 27001

0



Resultado de imagen de ISO/IEC 27001
ISO/IEC 27001 es un estรกndar Information technology - Security techniques - Information security management systems - Requirements, es decir, para la seguridad de la informaciรณn, aprobado y publicado como estรกndar internacional en octubre de 2005 por 

- International Organization for Standardization
- por la comisiรณn International Electrotechnical Commission.

Especifica los requisitos necesarios para 

  • establecer, 
  • implantar, 
  • mantener y 
  • mejorar 

un sistema de gestiรณn de la seguridad de la informaciรณn(SGSI) segรบn es conocido como "Ciclo de Deming": PDCA- acrรณnimo de Plan, Do, Check, Act, es decir:

  • Planificar, 
  • Hacer, 
  • Verificar, 
  • Actuar. 

Es consistente con las mejores prรกcticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orรญgenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalizaciรณn britรกnica, la British Standards Institution (BSI).


Resultado de imagen de ISO/IEC 27001 

La versiรณn actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Colombiano de Normas y Tรฉcnicas y Certificaciรณn ICONTEC. Esta norma es una adopciรณn idรฉntica (IDT) por traducciรณn de la norma ISO/IEC 27001:2013y se encuentra dividida en dos partes; la primera de las cuales se compone de 10 puntos entre los cuales se encuentran:
  1. Objeto y campo de aplicaciรณn: Especifica 
    1. la finalidad de la norma y 
    2. su uso dentro de una organizaciรณn.
  2. Referencias normativas
  3. Tรฉrmino y definiciones: Los tรฉrminos y definiciones usados se basan en la norma ISO/IEC 27000.
  4. Contexto de la organizaciรณn: Se busca determinar las necesidades y expectativas dentro y fuera de la organizaciรณn que afecten directa o indirectamente al sistema de gestiรณn de la seguridad de la informaciรณn. Adicional a esto, se debe determinar el alcance.
  5. Liderazgo: Habla sobre 
    1. la importancia de la alta direcciรณn y 
    2. su compromiso con el sistema de gestiรณn, 
    3. estableciendo polรญticas, 
    4. asegurando la integraciรณn de los requisitos del sistema de seguridad en los procesos de la organizaciรณn, 
    5. asรญ como los recursos necesarios para su implementaciรณn y 
    6. operabilidad.
  6. Planificaciรณn: Se deben 
    1. valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptaciรณn de riesgos, 
    2. adicionalmente se debe dar un tratamiento a los riesgos de la seguridad de la informaciรณn. 
    3. Los objetivos y los planes para logar dichos objetivos tambiรฉn se deben definir en este punto.
  7. Soporte: Se trata sobre 
    1. los recursos destinados por la organizaciรณn, 
    2. la competencia de personal, 
    3. la toma de conciencia por parte de las partes interesadas, 
    4. la importancia sobre la comunicaciรณn en la organizaciรณn. 
    5. La importancia de la informaciรณn documentada, tambiรฉn se trata en este punto.
  8. Operaciรณn: se establece 
    1. como se debe planificar y controlar la operaciรณn, 
    2. asรญ como la valoraciรณn de los riesgos y 
    3. su tratamiento.
  9. Evaluaciรณn de desempeรฑo: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un 
    1. seguimiento, 
    2. mediciรณn, 
    3. anรกlisis y 
    4. evaluaciรณn del sistema de gestiรณn de la informaciรณn.
  10. Mejora: Habla sobre 
    1. el tratamiento de las no conformidades, 
    2. las acciones correctivas y 
    3. la mejora continua.
La segunda parte establece los objetivos de control y los controles de referencia.

Resultado de imagen de ISO/IEC 27001 

En Espaรฑa, en el aรฑo 2004 se publicรณ la UNE 71502 titulada Especificaciones para los Sistemas de Gestiรณn de la Seguridad de la Informaciรณn (SGSI) y que fue elaborada por el comitรฉ tรฉcnico AEN/CTN 71. Es una adaptaciรณn nacional de la norma britรกnica British Standard BS 7799-2:2002.

Con la publicaciรณn de UNE-ISO/IEC 27001, -que es la traducciรณn al espaรฑol del original inglรฉs-, dejรณ de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta รบltima estรกn pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

ISO 27001:2013. Existen varios cambios con respecto a la versiรณn 2005 en la versiรณn 2013. Entre ellos destacan los siguientes:
  • Desaparece la secciรณn "enfoque a procesos" dando mayor flexibilidad para la elecciรณn de metodologรญas de trabajo para el anรกlisis de riesgos y mejoras.
  • Cambia su estructura conforme al anexo SL comรบn al resto de estรกndares de la ISO.
  • Pasa de 102 requisitos a 130.
  • Considerables cambios en los controles, incrementando el nรบmero de dominios a 14 y disminuyendo el nรบmero de controles a 114.
  • Inclusiรณn de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
  • Se parte del anรกlisis de riesgos para determinar los controles necesarios, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios a los objetivos de la organizaciรณn:
  • Demuestra la garantรญa independiente de los controles internos y 
  • cumple los requisitos de gestiรณn corporativa y 
  • de continuidad de la actividad comercial.
  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicaciรณn.

  • Proporciona una ventaja competitiva 
    • al cumplir los requisitos contractuales y 
    • demostrar a los clientes que la seguridad de su informaciรณn es primordial.

  • Verifica independientemente que 
    •  los riesgos de la organizaciรณn estรฉn correctamente identificados, 
    • evaluados y 
    • gestionados 
    • al tiempo que formaliza unos procesos, 
    • procedimientos y 
    • documentaciรณn de protecciรณn de la informaciรณn.
  • Demuestra el compromiso de la cรบpula directiva de su organizaciรณn con la seguridad de la informaciรณn.
  • El proceso de evaluaciones periรณdicas ayuda a supervisar continuamente el rendimiento y la mejora.
Las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del cรณdigo profesional, ISO/IEC 27002 no logran estas ventajas

Implantaciรณn. La implantaciรณn de ISO/IEC 27001 en una organizaciรณn determinada es un proyecto que suele tener una duraciรณn entre 6 y 12 meses, dependiendo 

  • del grado de madurez en seguridad de la informaciรณn 
  • y el alcance, 

entendiendo por alcance el รกmbito de la organizaciรณn que va a estar sometido al Sistema de Gestiรณn de la Seguridad de la Informaciรณn elegido. 

En general, se recomienda la ayuda de consultores externos para la implantaciรณn.

Las organizaciones 

  • que hayan adecuado previamente de forma rigurosa 
  • sus sistemas de informaciรณn y 
  • sus procesos de trabajo 

a las exigencias de las normativas legales de protecciรณn de datos (p.ej., en Espaรฑa la conocida LOPDy sus normas de desarrollo, siendo el mรกs importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgรกnica de Protecciรณn de Datos

  • o que hayan realizado un acercamiento progresivo a la seguridad de la informaciรณn mediante la aplicaciรณn de las buenas prรกcticas de ISO/IEC 27002, partirรกn de una posiciรณn mรกs ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantaciรณn debe estar 

  • formado por representantes de todas las รกreas de la organizaciรณn que se vean afectadas por el SGSI, 
  • liderado por la direcciรณn y 
  • asesorado por consultores externos especializados en 
    • seguridad informรกtica generalmente Ingenieros o Ingenieros Tรฉcnicos en Informรกtica,  
    • derecho de las nuevas tecnologรญas,  
    • protecciรณn de datos y 
    • sistemas de gestiรณn de seguridad de la informaciรณn (que hayan realizado un curso de implantador de SGSI).
Imagen relacionada

Por lo que respecta a la certificaciรณn de un SGSI esta viene a ser el proceso mediante el cual una entidad de certificaciรณn externa, independiente y acreditada audita el sistema, 

  • determinando su conformidad con ISO/IEC 27001, 
  • su grado de implantaciรณn real y 
  • su eficacia y, en caso positivo, 
  • emite el correspondiente certificado.

Antes de la publicaciรณn del estรกndar ISO 27001, las organizaciones interesadas eran certificadas segรบn el estรกndar britรกnico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificaciรณn ISO/IEC 27001 en su primera certificaciรณn con รฉxito o mediante su recertificaciรณn trienal. La certificaciรณn BS 7799-2 ha quedado reemplazada.

Se dan correspondencias del Sistema de Gestiรณn de la Seguridad de la Informaciรณn (SGSI) con el Sistema de Gestiรณn de la Calidad segรบn ISO 9001:2000 y con el Sistema de Gestiรณn Medio Ambiental segรบn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organizaciรณn en varias normas y con base en un sistema de gestiรณn comรบn.

Serie 27000. La seguridad de la informaciรณn tiene asignada la serie 27000 dentro de los estรกndares ISO/IEC:
  • ISO 27000: Publicada en mayo de 2009, contiene la descripciรณn general y vocabulario a  emplear en toda la serie 27000. Se puede utilizar para tener un entendimiento mรกs claro de la serie y la relaciรณn entre los diferentes documentos que la conforman.
  • UNE-ISO/IEC 27001: 2007 "Sistemas de Gestiรณn de la Seguridad de la Informaciรณn (SGSI). Requisitos". Fecha de la versiรณn espaรฑola 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestiรณn de Seguridad de la Informaciรณn. Los SGSIs deberรกn ser certificados por auditores externos a las organizaciones. Contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).
  • ISO/IEC 27002: (anteriormente denominada ISO 17799). Guรญa de buenas prรกcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informaciรณn con 11 dominios, 39 objetivos de control y 133 controles.
  • ISO/IEC 27003: Guรญa de implementaciรณn de SGSI e informaciรณn acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aรฑos con recomendaciones y guรญas de implantaciรณn.
  • ISO 27004: Publicada en diciembre de 2009. Especifica las mรฉtricas y las tรฉcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantaciรณn de un SGSI y de los controles relacionados.
  • ISO 27005: Publicada en junio de 2008. Guรญa para la gestiรณn del riesgo de la seguridad de la informaciรณn y sirve, por tanto, de apoyo a la ISO 27001 y a la implantaciรณn de un SGSI. Incluye partes de la ISO 13335.
  • ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditaciรณn de entidades de auditorรญa y certificaciรณn de sistemas de gestiรณn de seguridad de la informaciรณn.
Resultado de imagen de ISO/IEC 27001Referencias
  • ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems - Requirements
  • ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management
  • ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (anterior ISO/IEC 17799:2005)
  • ISO 9001:2000, Quality management systems — Requirements
  • ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management
  • ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security
  • ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
  • ISO 14001:2004, Environmental management systems — Requirements with guidance for use
  • ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management
  • ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
  • iSO 90011:2003, GUILLEN AUIDIT ENVIROMENTAL
Otros SGSI

  • SOGP. Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Es mรกs una "buenas prรกctica", basado en las experiencias del ISF.

  • ISM3. Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) estรก construido en 
    • estรกndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, 
    • e informaciรณn general de conceptos de seguridad de los gobiernos. 
    • ISM3 puede ser usado como plantilla para un ISO 9001 compliant
    • Mientras que la ISO/IEC 27001 estรก basada en controles. 
    • ISM3 estรก basada en proceso e incluye mรฉtricas de proceso.

  • COBIT. En el caso de COBIT, los controles son aรบn mรกs amplios que en la ISO-IEC 27001. La versiรณn mรกs actual es la COBIT 5.
 
ICONTEC (2015). ICONTEC, ed. Compendio seguridad de la informaciรณn(Segunda ediciรณn ediciรณn). Colombia: ICONTEC Internacional. ISBN 978-958-8585-53-6.
Related articles
  1. Curiosidades Alien Vs Predator
  2. Who Lifestyle Questionnaire
  3. Lifestyle Modification
  4. Lifestyle Nutrition Menu
  5. Viaje Spanish To English
  6. Lifestyle Blogs
  7. Viaje Verano 2020
  8. Viaje Gratis Uber
  9. Viaje Jalapeno Cigar
  10. Viaje Qatar
  11. Lifestyles Ultra Sensitive
  12. Lifestyle Vloggers
  13. How Much Lifestyle Cost
  14. Viajes Y Mas
  15. Lifestyle Of Mukesh Ambani
  16. Where Is Lifestyle Christianity
  17. Viaje Meaning
  18. Curiosidades 1917 Pelicula
  19. To Lifestyle Synonym
  20. Why Lifestyle Is Important
  21. Lifestyle Uae Promo Code 2020
  22. Lifestyle To Reduce Blood Pressure
  23. Viaje Kenia Tanzania Y Zanzibar
  24. Curiosidades Literarias
  25. Lifestyle 48
  26. Why Lifestyle Changes Are Important
  27. Curiosidades Hoy
  28. Viaje El Or La
  29. Curiosidades Minecraft
  30. Lifestyle Xperiences 365
  31. Curiosidades Estranhas
  32. With Lifestyle Disease
  33. Will Lifestyle Online Shopping
  34. Lifestyle 5Th Wheel
  35. Viaje Birthday Blend Review
  36. For Lifestyle-Related Diseases
  37. Viaje Carretera Austral
  38. Lifestyle 550 Home Entertainment System
  39. Curiosidades Mexico
  40. Curiosidades 9
  41. Curiosidades Interessantes
  42. Lifestyle Zone
  43. Curiosidades 4 De Julho
  44. 99 Curiosidades Del Cuerpo Humano
  45. How Lifestyle Diseases Can Be Prevented
  46. Lifestyle Studded
  47. Can Lifestyle Have An Effect On Bipolar Disorder
  48. Who Sells Viaje Cigars
  49. Curiosidades De Plantas Vs Zombies 2
  50. Viaje Wmd
  51. 90 Curiosidades Do Mundo
  52. Lifestyle 2U
  53. Lifestyle Login
  54. Viaje Jalapeno
  55. Lifestyle Christianity
  56. Curiosidades Bts
  57. Curiosidades 777
  58. Curiosidades Con Mike Libro
  59. Curiosidades Kpop
  60. Viaje Meaning
  61. Lifestyle Brands
  62. Can Lifestyle Changes Reverse Hypertension
  63. Near Lifestyle Store
  64. Lifestyle X7400
  65. Curiosidades Joaninha
  66. Where Is Lifestyle Christianity University
  67. Viaje Chihiro
  68. Curiosidades Alien Vs Predator
  69. Lifestyle Real Estate
  70. How Many Lifestyle Blocks In Nz
  71. Viaje 8 Dias Grecia
  72. Lifestyle Xperiences 365
  73. Curiosidades De 007 Skyfall
  74. Curiosidades Bbb
  75. Who Lifestyle Questionnaire
  76. Viaje Al Fondo Del Mar
  77. What Lifestyle Causes Cancer
  78. How Much Lifestyle Physical Activity
  79. Lifestyle Wireless
  80. Curiosidades Historicas
  81. Curiosidades 2020
  82. Curiosidades De La Biblia
  83. Lifestyle Newborn Photography
  84. Curiosidades Zorro
  85. Lifestyle Yacht Sales
  86. Lifestyle 76 Cabinet
  87. Curiosidades India
  88. Curiosidades Kim Jong Un
  89. Curiosidades
  90. Where To Buy Viaje Cigars
  91. Lifestyle 7-In-1 Desktop Game Set
  92. Viaje Gol
  93. Where Are Lifestyle Campers Made
  94. Viaje Ultimo Minuto
  95. Viaje Queretaro
  96. Lifestyle Offers
  97. Lifestyle Amrit Maan
  98. Curiosidades Bbb
  99. Curiosidades Vis A Vis
  100. Curiosidades Sobre Gatos
  101. Lifestyle Wellness
  102. Lifestyle 8321
  103. Curiosidades Que Ninguรฉm Sabia
  104. Who You Are Curiosidades
  105. Curiosidades Yorkshire
  106. Will Lifestyle Shirts
  107. Verb For Viaje
  108. Lifestyle 650 Home Entertainment System
  109. Curiosidades Breaking Bad
  110. Viaje 3 De La Tierra A La Luna Trailer
  111. Curiosidades Xalmimilulco 2020
  112. Lifestyle Wiki
  113. Viaje Humanitario
  114. Which Lifestyle Is For You Quiz
  115. Lifestyle Without Sugar
  116. Lifestyle Network
  117. Viaje In English
  118. Curiosidades De Plantas Vs Zombies Garden Warfare
  119. Curiosidades 3 ร‰ Demais
  120. Curiosidades 1917 Pelicula
  121. Viaje Virtual A Machu Picchu
  122. Curiosidades 2 Guerra Mundial
  123. Viaje Wilshire And La Jolla
  124. Viaje Japon
  125. Viaje 3 Dias
  126. Another Word For Viaje
  127. Lifestyle Voucher
  128. Viaje Con Los Derbez Episodios
  129. Viaje Salvaje
  130. Curiosidades Zelda Breath Of The Wild
  131. How Many Lifestyle Blocks In Nz
  132. Viaje 914
  133. Curiosidades Karate
  134. Lifestyle Insurance
  135. Can Viajar De Graรงa
  136. Curiosidades China
  137. Lifestyle Youtube Channel Name Ideas
  138. Lifestyle When Pregnant
  139. How Many Lifestyle Blogs Are There
  140. Curiosidades Oceania
  141. Lifestyle Quizzes
  142. Curiosidades Do Dia 01 De Outubro
  143. Lifestyle Network
  144. Lifestyle Extra Sling
  145. Viaje Vs Recorrido
  146. Is Lifestyle Christianity University Accredited
  147. Lifestyle Vs Way Of Life

Post a Comment

Previous Post Next Post