Zusammenfassung der Ressource
ISO 27000
- Qué es?
- Es una familia de estándares internacionales
para Sistemas de Gestión de la Seguridad de la
Información (SGSI) que proporcionan un marco
de gestión de la seguridad de la información
- Caracteristica
- Esta norma contiene términos y definiciones que
se emplean en toda la serie 27000. La aplicación
de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión
- Es la visión general del sistema de gestión de
seguridad de la información
- El conjunto de requerimientos precisados en este estándar
internacional son genéricos y se piensa sean aplicables a
todas las organizaciones, sin importar su tipo, tamaño y
naturaleza.
- También especifica los requerimientos a establecer,
poniendo en ejecución, funcionando, supervisando,
repasando, manteniendo y mejorando la
documentación del Sistema de Administración en la
Seguridad de la Información (ISMS), dentro del
contexto de la totalidad de los riesgos del negocio.
- Otras ISO de la familia
- ISO 27001: Es la certificación que deben obtener las
organizaciones. Norma que especifica los requisitos para
la implantación del SGSI. Es la norma más importante de
la familia. Adopta un enfoque de gestión de riesgos y
promueve la mejora continua de los procesos
- ISO 27002: Es una guía de buenas prácticas que
describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.
- ISO 27003: Es una guía de implementación de SGSI
e información acerca del uso del modelo PDCA y de
los requerimientos de sus diferentes fases
- ISO 27004: Especifica las métricas y las técnicas de
medida aplicables para determinar la eficacia de un
SGSI y de los controles relacionados
- ISO 27005: Establece las directrices para la gestión del
riesgo en la seguridad de la información. Está diseñada
para ayudar a la aplicación satisfactoria de la seguridad de
la información basada en un enfoque de gestión de
riesgos, es aplicable a todo tipo de organizaciones que
tienen la intención de gestionar los riesgos que puedan
comprometer la organización de la seguridad de la
información.
- ISO 27006: Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión
de seguridad de la información. Es decir, ayuda a interpretar
los criterios de acreditación de ISO/IEC 17021 cuando se
aplican a entidades de certificación de ISO 27001, pero no es
una norma de acreditación por sí misma.
- ISO 27007: Auditoria para los sistemas de gestión de la
seguridad de la información
- ISO 27008: Guía para la auditoria para los controles
seleccionados en el sistema de gestión de la seguridad de la
información.
- Beneficios
- Reducción de riesgos de pérdida,
robo o corrupción de la información
- Los clientes tienen acceso a la
información de manera segura, lo
que se traduce en confianza.
- Los riesgos y sus respectivos
controles son revisados
constantemente.
- Las auditorías externas permiten
identificar posibles debilidades del
sistema.
- Continuidad en las operaciones del
negocio tras incidentes de gravedad.
- Continuidad en las operaciones del
negocio tras incidentes de gravedad.