Las medidas de seguridad necesarias se describen brevemente en aproximadamente 100 páginas de la norma. Las recomendaciones están destinados principalmente a nivel de gestión por lo tanto no contienen mucha información técnica.
La implementación de las recomendaciones de seguridad en la norma ISO 27002 es una de las muchas maneras para cumplir los requisitos de la norma ISO 27001.
Contenido
- Estructura con 11 áreas temáticas, clausulas o secciones de control
- Política de Seguridad
- Organización de la seguridad de la información
- Gestión de Activos
- Seguridad de Recursos Humanos
- Seguridad física y ambiental
- Gestión de Comunicaciones y Operaciones
- Control de Acceso
- Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
- Gestión de Incidentes de Seguridad de la Información
- Gestión de continuidad
- Conformidad
- Por cada área se definen uno o más objetivos control, indican que se puede lograr, en total son 39
- Para cada objetivo de control se definen uno o varios controles de seguridad, responden a ¿Cómo puede logar el objetivo de control? en total son 133 controles
Control
Es una medida de seguridad que utilizan las empresas para gestionar el riesgo, incluye políticas de seguridad, procedimientos, directrices, prácticas y estructuras organizativas, las que pueden ser administrativas, técnicas, de gestión, o de carácter legal. También son como salvavidas, medidas correctivas (countermeasure) o soluciones puntuales a situaciones concretas, por lo tanto sin un SGSI los controles pueden tender a ser un poco desorganizados y desarticulados.
El
Anexo
A de la norma ISO/IEC 27001 enumera los controles de
seguridad de la información de la norma ISO/IEC 27002 (Código de mejores
Prácticas del SGSI), el cual proporciona información adicional y
asesoramiento
sobre la ejecución de los controles de seguridad.
Varios conjuntos adicionales de controles puede ser utilizados potencialmente dentro de la norma ISO/IEC 27001 e incluso remplazar la norma ISO/IEC 27002, sin embargo estas dos normas suelen se utilizarse juntas en la práctica para satisfacer muchos de los requisitos de la certificación, el problema es que pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, el cumplimiento certificado de la norma ISO/IEC 27001 garantiza que el SGSI está en operando correctamente, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización
Los controles técnicos de seguridad, como Antivirus y Firewalls normalmente no se auditan en la certificación de la norma ISO/IEC 27001: la organización presume que se han adoptado todas las medidas de seguridad de la información necesaria desde el SGSI y se considera adecuada cuando cumpla con los requisitos de la norma ISO/IEC 27001.
Varios conjuntos adicionales de controles puede ser utilizados potencialmente dentro de la norma ISO/IEC 27001 e incluso remplazar la norma ISO/IEC 27002, sin embargo estas dos normas suelen se utilizarse juntas en la práctica para satisfacer muchos de los requisitos de la certificación, el problema es que pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, el cumplimiento certificado de la norma ISO/IEC 27001 garantiza que el SGSI está en operando correctamente, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización
Los controles técnicos de seguridad, como Antivirus y Firewalls normalmente no se auditan en la certificación de la norma ISO/IEC 27001: la organización presume que se han adoptado todas las medidas de seguridad de la información necesaria desde el SGSI y se considera adecuada cuando cumpla con los requisitos de la norma ISO/IEC 27001.
Cada control consiste en:
- Declaración de Control
- Guía de Implementación y Certificación
- Información Adicional
Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.
No comments:
Post a Comment