ISO/IEC 27001

ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Contenido

Evolución

España

En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

XXX

Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

La Serie 27000

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

  • ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.
  • UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
  • ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
  • ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
  • ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
  • ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.
  • ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Referencias

  • ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems - Requirements
  • ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management
  • ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (anterior ISO/IEC 17799:2005)
  • ISO 9001:2000, Quality management systems — Requirements
  • ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management
  • ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security
  • ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
  • ISO 14001:2004, Environmental management systems — Requirements with guidance for use
  • ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management
  • ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing

Véase también

Enlaces externos


Wikimedia foundation. 2010.

Игры ⚽ Поможем написать курсовую

Mira otros diccionarios:

  • ISO/IEC 27001 — ISO/IEC 27001, part of the growing ISO/IEC 27000 series of standards, is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization (ISO) and the International… …   Wikipedia

  • ISO/IEC 27001 — ISO/CEI 27001 Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • ISO/IEC 27001 — DIN ISO/IEC 27001 Bereich Informationstechnik Titel IT Sicherheitsverfahren – Informationssicherheits Managementsysteme – Anforderungen …   Deutsch Wikipedia

  • ISO/IEC 27001 — ISO 27001  международный стандарт по информационной безопасности разработанный совместно (ISO) и Международной Электротехнической Комиссии (IEC). Подготовлен к выпуску подкомитетом SC27 Обьединенного Технического Коммитета JTC 1. Стандарт… …   Википедия

  • ДСТУ ISO/IEC 27001:2010 — Інформаційні технології. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISOIEC 27001:2005, IDT) [br] НД чинний: від 2012 07 01 Зміни: Технічний комітет: Мова: Метод прийняття: Переклад… …   Покажчик національних стандартів

  • Iso/cei 27001 — Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • ISO/CEI 27001 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/IEC 27002 — part of a growing family of ISO/IEC ISMS standards, the ISO/IEC 27000 series is an information security standard published by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) as… …   Wikipedia

  • ISO/IEC 27000 — part of a growing family of ISO/IEC ISMS standards, the ISO/IEC 27000 series is the number reserved for a new international standard, which currently has the provisional title: Information technology Security techniques Information security… …   Wikipedia

  • ISO/IEC 27005 — part of a growing family of ISO/IEC ISMS standards, the ISO/IEC 27000 series is an information security standard being currently developed by the International Organization for Standardization (ISO) and the International Electrotechnical… …   Wikipedia

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”