Es un conjunto de normas aplicables a todas las organizaciones sin importar su tamaño o rubro. Ademas de enfocarse en la privacidad, la confidencialidad o los problemas técnicos de seguridad de los sistemas IT, va dirigida a evaluar los riesgos de seguridad de la información, con el fin de implementar medidas y controles adecuados según las necesidades, directrices y sugerencias de cada empresa.
Las normas de la familia ISO/IEC 27000 proporcionan orientación sobre determinados aspectos de diseño, implementación y operación de un Sistema de Gestión de seguridad de la Información (SGSI), además ofrece recomendaciones de mejores prácticas, manejo de riesgos y los controles aplicables al SGSI, de forma análoga a los sistemas de gestión para el aseguramiento de la calidad (ISO 9000) y del protección del medio ambiente ( Serie ISO14000).
Dada la naturaleza dinámica de la seguridad de la información, el concepto de SGSI incorpora actividades de retroalimentación y mejora continua, los cuales se resumen en el modelo Deming "Planificar-hacer-verificar-actuar", enfoque, que tratan de abordar los cambios en las amenazas, vulnerabilidades e impacto de los incidentes de seguridad de la información.
Este término surgió a partir de prácticas y procedimientos seguidos para salvaguardar los sistemas de seguridad informática. Se define como la protección, uso, procesamiento, divulgación, alteración, modificación, lectura, inspección, registro o destrucción, almacenamiento y transmisión de información o de datos en los sistemas de una organización.
La gestión de la Seguridad de la información se ha convertido en garantía de que las organizaciones utilizan sistemas de gestión de riesgos, Si bien se centra predominantemente en la información en forma digital, también abarca la forma analógica o física.
Este es un enfoque interdisciplinario que se basa en varios campos, incluyendo la contabilidad, criptografía, ciencias forenses, Sistemas de gestión, ciencias de la computación, ingeniería de seguridad, la criminología, además de la informática.
Las normas son el producto de la norma ISO/IEC JTC1 (Comité Técnico Conjunto 1) SC27 (Sub-comité 27), un organismo internacional que se reúne en persona dos veces al año.
Las normas de la familia ISO/IEC 27000 proporcionan orientación sobre determinados aspectos de diseño, implementación y operación de un Sistema de Gestión de seguridad de la Información (SGSI), además ofrece recomendaciones de mejores prácticas, manejo de riesgos y los controles aplicables al SGSI, de forma análoga a los sistemas de gestión para el aseguramiento de la calidad (ISO 9000) y del protección del medio ambiente ( Serie ISO14000).
Dada la naturaleza dinámica de la seguridad de la información, el concepto de SGSI incorpora actividades de retroalimentación y mejora continua, los cuales se resumen en el modelo Deming "Planificar-hacer-verificar-actuar", enfoque, que tratan de abordar los cambios en las amenazas, vulnerabilidades e impacto de los incidentes de seguridad de la información.
Seguridad de la información
Este término surgió a partir de prácticas y procedimientos seguidos para salvaguardar los sistemas de seguridad informática. Se define como la protección, uso, procesamiento, divulgación, alteración, modificación, lectura, inspección, registro o destrucción, almacenamiento y transmisión de información o de datos en los sistemas de una organización.
La gestión de la Seguridad de la información se ha convertido en garantía de que las organizaciones utilizan sistemas de gestión de riesgos, Si bien se centra predominantemente en la información en forma digital, también abarca la forma analógica o física.
Este es un enfoque interdisciplinario que se basa en varios campos, incluyendo la contabilidad, criptografía, ciencias forenses, Sistemas de gestión, ciencias de la computación, ingeniería de seguridad, la criminología, además de la informática.
Apéndice de Normalización
Organismos Internacionales
ISO Organización Internacional de Normalización
IEC Comisión Electrotécnica Internacional
CEN Comité Europeo de Normalización
ISO Organización Internacional de Normalización
IEC Comisión Electrotécnica Internacional
CEN Comité Europeo de Normalización
ÖNORM Instituto Austriaco de Normas
DIN Instituto Alemán de Normalización
BSI British Standards Institution
AFNOR Asociación Francesa de Normalización
ANSI American National Standards Institute
DIN Instituto Alemán de Normalización
BSI British Standards Institution
AFNOR Asociación Francesa de Normalización
ANSI American National Standards Institute
Como funcionan la aprobación y publicación de una norma:
http://www.iso.org/iso/iso_technical_committee?commid=45306 |
En la actualidad, once de las normas de la serie están publicados y disponibles, mientras que varios más están todavía en desarrollo. Los originales de normas ISO / IEC son vendidos directamente por la norma ISO, mientras que los puntos de venta asociados con diversos organismos nacionales de normalización también venden varias versiones, incluyendo traducciones locales.
IS 27000 Bases y Vocabulario del SGSI
IS 27001 Requerimientos del SGSI
IS 27002 Código de buenas prácticas para la gestión de seguridad de la información
IS 27003 Guía de implementación del SGSI
IS 27004 Medidas de gestión de la seguridad de la información
IS 27005 Gestión de riesgos en seguridad de la información
IS 27006 Requerimientos para los organismos que proveen Auditorias y certificaciones SGSI
IS 27007 Guías de referencia para auditar un SGSI, No publicado aún,
IS 27011 SGSI para organizaciones que prestan servicios de telecomunicaciones
Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos.
No comments:
Post a Comment