sábado, 11 de julho de 2020

ISO/IEC 27001




Resultado de imagen de ISO/IEC 27001
ISO/IEC 27001 es un estándar Information technology - Security techniques - Information security management systems - Requirements, es decir, para la seguridad de la información, aprobado y publicado como estándar internacional en octubre de 2005 por 

- International Organization for Standardization
- por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para 

  • establecer, 
  • implantar, 
  • mantener y 
  • mejorar 

un sistema de gestión de la seguridad de la información(SGSI) según es conocido como "Ciclo de Deming": PDCA- acrónimo de Plan, Do, Check, Act, es decir:

  • Planificar, 
  • Hacer, 
  • Verificar, 
  • Actuar. 

Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).


Resultado de imagen de ISO/IEC 27001 

La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC. Esta norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013y se encuentra dividida en dos partes; la primera de las cuales se compone de 10 puntos entre los cuales se encuentran:
  1. Objeto y campo de aplicación: Especifica 
    1. la finalidad de la norma y 
    2. su uso dentro de una organización.
  2. Referencias normativas
  3. Término y definiciones: Los términos y definiciones usados se basan en la norma ISO/IEC 27000.
  4. Contexto de la organización: Se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información. Adicional a esto, se debe determinar el alcance.
  5. Liderazgo: Habla sobre 
    1. la importancia de la alta dirección y 
    2. su compromiso con el sistema de gestión, 
    3. estableciendo políticas, 
    4. asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización, 
    5. así como los recursos necesarios para su implementación y 
    6. operabilidad.
  6. Planificación: Se deben 
    1. valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, 
    2. adicionalmente se debe dar un tratamiento a los riesgos de la seguridad de la información. 
    3. Los objetivos y los planes para logar dichos objetivos también se deben definir en este punto.
  7. Soporte: Se trata sobre 
    1. los recursos destinados por la organización, 
    2. la competencia de personal, 
    3. la toma de conciencia por parte de las partes interesadas, 
    4. la importancia sobre la comunicación en la organización. 
    5. La importancia de la información documentada, también se trata en este punto.
  8. Operación: se establece 
    1. como se debe planificar y controlar la operación, 
    2. así como la valoración de los riesgos y 
    3. su tratamiento.
  9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un 
    1. seguimiento, 
    2. medición, 
    3. análisis y 
    4. evaluación del sistema de gestión de la información.
  10. Mejora: Habla sobre 
    1. el tratamiento de las no conformidades, 
    2. las acciones correctivas y 
    3. la mejora continua.
La segunda parte establece los objetivos de control y los controles de referencia.

Resultado de imagen de ISO/IEC 27001 

En España, en el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001, -que es la traducción al español del original inglés-, dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

ISO 27001:2013. Existen varios cambios con respecto a la versión 2005 en la versión 2013. Entre ellos destacan los siguientes:
  • Desaparece la sección "enfoque a procesos" dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.
  • Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.
  • Pasa de 102 requisitos a 130.
  • Considerables cambios en los controles, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.
  • Inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
  • Se parte del análisis de riesgos para determinar los controles necesarios, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios a los objetivos de la organización:
  • Demuestra la garantía independiente de los controles internos y 
  • cumple los requisitos de gestión corporativa y 
  • de continuidad de la actividad comercial.
  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

  • Proporciona una ventaja competitiva 
    • al cumplir los requisitos contractuales y 
    • demostrar a los clientes que la seguridad de su información es primordial.

  • Verifica independientemente que 
    •  los riesgos de la organización estén correctamente identificados, 
    • evaluados y 
    • gestionados 
    • al tiempo que formaliza unos procesos, 
    • procedimientos y 
    • documentación de protección de la información.
  • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
  • El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventajas

Implantación. La implantación de ISO/IEC 27001 en una organización determinada es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo 

  • del grado de madurez en seguridad de la información 
  • y el alcance, 

entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. 

En general, se recomienda la ayuda de consultores externos para la implantación.

Las organizaciones 

  • que hayan adecuado previamente de forma rigurosa 
  • sus sistemas de información y 
  • sus procesos de trabajo 

a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPDy sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos

  • o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar 

  • formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, 
  • liderado por la dirección y 
  • asesorado por consultores externos especializados en 
    • seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática,  
    • derecho de las nuevas tecnologías,  
    • protección de datos y 
    • sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
Imagen relacionada

Por lo que respecta a la certificación de un SGSI esta viene a ser el proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, 

  • determinando su conformidad con ISO/IEC 27001, 
  • su grado de implantación real y 
  • su eficacia y, en caso positivo, 
  • emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal. La certificación BS 7799-2 ha quedado reemplazada.

Se dan correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

Serie 27000. La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
  • ISO 27000: Publicada en mayo de 2009, contiene la descripción general y vocabulario a  emplear en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.
  • UNE-ISO/IEC 27001: 2007 "Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos". Fecha de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. Contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).
  • ISO/IEC 27002: (anteriormente denominada ISO 17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
  • ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
  • ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
  • ISO 27005: Publicada en junio de 2008. Guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.
  • ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
Resultado de imagen de ISO/IEC 27001Referencias
  • ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems - Requirements
  • ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management
  • ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (anterior ISO/IEC 17799:2005)
  • ISO 9001:2000, Quality management systems — Requirements
  • ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management
  • ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security
  • ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
  • ISO 14001:2004, Environmental management systems — Requirements with guidance for use
  • ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management
  • ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
  • iSO 90011:2003, GUILLEN AUIDIT ENVIROMENTAL
Otros SGSI

  • SOGP. Otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Es más una "buenas práctica", basado en las experiencias del ISF.

  • ISM3. Information Security Management Maturity Model ("ISM3") (conocida como ISM-cubed o ISM3) está construido en 
    • estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, 
    • e información general de conceptos de seguridad de los gobiernos. 
    • ISM3 puede ser usado como plantilla para un ISO 9001 compliant
    • Mientras que la ISO/IEC 27001 está basada en controles. 
    • ISM3 está basada en proceso e incluye métricas de proceso.

  • COBIT. En el caso de COBIT, los controles son aún más amplios que en la ISO-IEC 27001. La versión más actual es la COBIT 5.
 
ICONTEC (2015). ICONTEC, ed. Compendio seguridad de la información(Segunda edición edición). Colombia: ICONTEC Internacional. ISBN 978-958-8585-53-6.
Related word
  1. Is Viajar Regular Or Irregular
  2. Lifestyle Near Mg Road
  3. Viaje 6 Dias Polonia
  4. Viaje Con Los Derbez Episodios
  5. Lifestyle 7-In-1 Desktop Game Set
  6. Curiosidades Mundo Animal
  7. Lifestyle 48 Series Iv
  8. Curiosidades Finlandia
  9. Lifestyle Where You Don'T Move
  10. Viaje Quechua
  11. Lifestyle With Sahiba
  12. Lifestyle Tint
  13. Lifestyle 101
  14. Curiosidades Luxemburgo
  15. When Will Lifestyle Sale Start
  16. Curiosidades Matematicas
  17. Curiosidades Filme Parasita
  18. Viaje Wordreference
  19. Lifestyle Near Tambaram
  20. Lifestyle News
  21. Lifestyle Vs Trojan Condoms
  22. Lifestyle Voucher
  23. How You Say Viaje In English
  24. Viaje Spanish
  25. Lifestyle 2 Nutrition
  26. Lifestyle Nutrition Vitamin C
  27. Lifestyle Xbox Games
  28. Viaje Jalapeno
  29. Viaje Pronunciation
  30. Lifestyle Thesaurus
  31. 8 Curiosidades Sobre Baratas
  32. Viaje Birthday Blend Review
  33. Lifestyle 4Wd Morley
  34. Lifestyle Fashion
  35. Curiosidades Raras
  36. Lifestyle Jay Gwuapo
  37. Lifestyle Options
  38. Lifestyle Ksa
  39. Lifestyle Furniture Iom
  40. Viaje 1 Pelicula
  41. Lifestyle Diseases
  42. Translation For Viaje De Ida
  43. Curiosidades 7 Vidas
  44. Viaje 6 Dias A Grecia
  45. Viaje Por Europa
  46. Viaje 6 Meses Sudamerica
  47. Viaje 7 Dias Marruecos
  48. Near Curiosidades
  49. Lifestyle District
  50. Viaje Infinito Nicole
  51. Viaje Fin De Curso
  52. Viaje Uruguay
  53. Curiosidades Forrest Gump
  54. Viaje Platino Perfecto
  55. Curiosidades 500 Dias Con Ella
  56. Curiosidades Zelda
  57. Curiosidades 70S Show
  58. Viaje 4 Dias España
  59. Lifestyle 2.0
  60. To Lifestyle Synonym
  61. Curiosidades 2018
  62. Curiosidades Alina Reno Nv
  63. Viaje Ou Viaje
  64. Lifestyle Download
  65. Lifestyle Furniture
  66. How Much Do Lifestyle Bloggers Make
  67. Lifestyle In Spanish
  68. Viaje Ultimo Minuto
  69. Lifestyle Like A
  70. Are Contabilidade Curiosidades
  71. How To Say Viaje In Spanish
  72. Lifestyle Overland
  73. Viajar Quotes
  74. Curiosidades Vis A Vis
  75. Viaje Mais
  76. Curiosidades Xiaomi Redmi Note 8 Pro
  77. Curiosidades Gossip Girl
  78. Lifestyle Hyderabad
  79. Lifestyle Youtube Channel Ideas
  80. Is Lifestyle Christianity University Accredited
  81. Lifestyle One
  82. Curiosidades Peaky Blinders
  83. Curiosidades Google Maps
  84. Words Similar To Viaje
  85. Viaje Japanese Cigar
  86. Curiosidades Zurdos
  87. What Does Vieja Mean In Spanish
  88. Is Viaje De Lujo Legit
  89. Curiosidades Lara Mesquite Nv
  90. Lifestyle Rich Gang Lyrics
  91. Lifestyle Furniture Ltd
  92. Lifestyle Furniture Iom
  93. Curiosidades Cientificas
  94. Curiosidades Bts
  95. Curiosidades Que Você Não Sabia
  96. Lifestyle Windows
  97. Lifestyle 4Wd
  98. Lifestyle When Working Out
  99. Lifestyle For Hypertension
  100. Curiosidades Historicas
  101. Curiosidades The Walking Dead
  102. How Many Lifestyle Sports Shops In Ireland
  103. Why Healthy Lifestyle Is Important
  104. Sentence With Viaje
  105. Viaje A Agartha
  106. Viaje Bruce Banner And The Hulk
  107. Lifestyle Words
  108. Lifestyle Wallpaper
  109. Curiosidades Perros
  110. Another Word For Viaje
  111. Lifestyle Magazine
  112. Viaje Birthday Blend 2020 Review
  113. Lifestyle Articles
  114. What'S Viajar Mean
  115. Can Lifestyle Changes Cure Gerd
  116. Viaje Juntos 2018
  117. Curiosidades Velozes E Furiosos
  118. Viaje 1 Pelicula
  119. Lifestyle 2 Nutrition
  120. Lifestyle Yacht Sales
  121. Is Lifestyle One Word
  122. Curiosidades Sobre Two And A Half Man
  123. Viaje Coche Fase 0
  124. For Lifestyle In French
  125. Lifestyle News
  126. Lifestyle University
  127. Viaje 8 Dias Croacia
  128. Lifestyle Australia
  129. Cuota 0 Viaje Egresados
  130. Viaje 5 Dias Pais Vasco
  131. How Many Lifestyle Are There
  132. Lifestyle Nearby
  133. Curiosidades Lgbt
  134. Viaje Con Los Derbez
  135. Are Un Viaje
  136. Will Lifestyle Store
  137. Which Lifestyle Is For You Quiz
  138. Lifestyle Centre
  139. Lifestyle Youtube Channel Ideas
  140. Lifestyle Entrepreneur
  141. Viaje Gender
  142. What Lifestyle Can I Afford
  143. Viaje 2 La Isla Misteriosa Actores
  144. Curiosidades 3
  145. Why Don'T We Curiosidades
  146. Curiosidades Hoy
  147. What Viajar Mean In Spanish
  148. Viaje 3 Dias
  149. Viaje Al Fondo Del Mar
  150. Lifestyle Vs Trojan Condoms
  151. Curiosidades How To Get Away With A Murderer
  152. Curiosidades Wikipedia
  153. Viaje Gol
  154. Viaje 3 Dias Marrakech
  155. Lifestyle 0
  156. How Many Lifestyle Are There
  157. Curiosidades Kim Taehyung
  158. Curiosidades Interesantes
  159. Viaje Del Usuario
  160. Viaje Verde Lyrics
  161. Lifestyle One
  162. Viaje Internacional
  163. Lifestyle Near Tambaram
  164. Lifestyle Home Products
  165. Where Is Lifestyle Shopping Mall
  166. Lifestyle Questions And Answers
  167. Viajes 9 Punto 9
  168. Viajes 60 Años Comunidad De Madrid
  169. Curiosidades Sobre Portugal
  170. Lifestyle 2 Nutrition
  171. Lifestyle Youtube Channels
  172. Can Viajar De Graça
  173. Lifestyle Wardrobes
Postado por às

Nenhum comentário:

Postar um comentário