Es un estándar para la creación de sistemas de gestión de la seguridad de la información.
CARACTERÍSTICAS
1-Métricas de Seguridad de la Información - ISM3 hace de la seguridad un proceso
medible mediante métricas de gestión de procesos. Esto permite la mejora continua
del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas
de gestión de seguridad de la información.
2- Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante
sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y
a los recursos que están disponibles.
3- Basado el Procesos - ISM3 v1.20 está basado en procesos, al igual que sistemas de gestión populares
como ISO9001 o ITIL. ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la
información, dado que la externalización de procesos de seguridad se simplifica gracias a
mecanismos explícitos, como los ANS y la distribución de responsabilidades.
4- Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene extensas referencias a
estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades
entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y
Operativa.
5- Certificación – Los SGSI basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que
quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también
puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen
experiencia e infraestructura para ISO9001.
ISM3 puede usarse por si solo o para mejorar sistemas basados en ITIL, ISO27001 o Cobit.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en
lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el
garantizar la consecución de objetivos de negocio
ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una
organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios
autorizados).