Professional Documents
Culture Documents
SEGURIDAD DE LA
INFORMACION
Normas Técnicas:
BS 7799-2:2002 (Certificable).
ISO 17799:2005 (No Certificable).
ISO 27001:2005 (Certificable).
ANTECEDENTES
Organización
Internacional para la
Estandarización
Organización internacional no gubernamental, compuesta por representantes
de los organismos de normalización (ONs) nacionales, que produce normas
internacionales industriales y comerciales (normas ISO ). Su finalidad es la
coordinación de las normas nacionales, en consonancia con el Acta Final de la
Organización Mundial del Comercio, con el propósito de facilitar el comercio, el
intercambio de información y contribuir con unos estándares comunes para el
desarrollo y transferencia de tecnologías.
¿QUÉ ES ISO 27000?
Es una familia de estándares internacionales para Sistemas
de Gestión de la Seguridad de la Información (SGSI).
Guías de implantación
ISO 27001
Es la norma principal de requerimientos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual
serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada
el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas
condiciones de transición para aquellas empresas certificadas en esta última.
ISO 27004
Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y
efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se
usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar
y Utilizar) del ciclo PDCA.
ISO 27005
Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá,
por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3
(publicada en Marzo de 2006) y, probablemente, en ISO 13335.
ISO 27006
Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.
Evolución de la Norma ISO/IEC 27001
Video
Norma ISO/IEC 27001
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
S
G
S
I
Es la norma que define los requisitos para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad
de la Información (SGSI) documentado dentro del contexto de los riesgos del
negocio.
Norma ISO/IEC 27001
Esta norma la pueden usar para:
2. Referencias Normativas
3. Términos y Definiciones
5. Responsabilidad de la Dirección
Resultados de la
Seguridad
de la Información
1. Plan (planificar): establecer el SGSI.
2. Do (hacer): implementar y utilizar el SGSI.
3. Check (verificar): monitorizar y revisar el SGSI.
4. Act (actuar): mantener y mejorar el SGSI.
RC Resumen de Controles - DA Declaración de Aplicabilidad
4.1. REQUISITOS GENERALES
La organización debe:
Anexo A
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (1)
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (2)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (1)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (2)
4.2.4. MANTENER Y MEJORAR EL SGSI
4.2.4. MANTENER Y MEJORAR EL SGSI (1)
REQUISITOS DE DOCUMENTACION (1)
REQUISITOS DE DOCUMENTACION (2)
REQUISITOS DE DOCUMENTACION (3)
RESPONSABILIDAD DE LA DIRECCION (1)
RESPONSABILIDAD DE LA DIRECCION (2)
AUDITORIA INTERNA DEL SGSI (1)
MONITOREO DEL SGSI POR LA DIRECCION (1)
MONITOREO DEL SGSI POR LA DIRECCION (2)
MEJORA DEL SGSI (1)
OBJETIVOS DE
CONTROL Y CONTROLES
Anexo Nº 1
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL Y CONTROLES
CONTROLES DE CADA OBJETIVO DE CONTROL (1)
CONTROLES DE CADA OBJETIVO DE CONTROL (2)
CONTROLES DE CADA OBJETIVO DE CONTROL (3)
CONTROLES DE CADA OBJETIVO DE CONTROL (4)
CONTROLES DE CADA OBJETIVO DE CONTROL (5)
CONTROLES DE CADA OBJETIVO DE CONTROL (6)
CONTROLES DE CADA OBJETIVO DE CONTROL (7)
CONTROLES DE CADA OBJETIVO DE CONTROL (8)
CONTROLES DE CADA OBJETIVO DE CONTROL (9)
BENEFICIOS DE UN SGSI
CONCLUSIONES FUNDAMENTALES