ISO/IEC 17799

ISO/IEC 17799

ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

Contenido

Publicación de la norma en diversos países

En España existe la publicación nacional UNE-ISO/IEC 17799 que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.

En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004, cuando era Jefe de la ONGEI - PCM, el Ing. Rafael Parra Erkel, quién aprobó la iniciativa, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI (www.ongei.gob.pe).

En Chile, se empleó la ISO/IEC 17799:2005 para tirarse a norma que establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO".

En Bolivia, se aprobó la primera traducción bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalizacion y calidad IBNORCA el 14 de noviembre del año 2003. Durante el año 2007 se aprobo una actualizacion a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares equivalentes de diversos países:

Países Estándar equivalente
Bandera de Australia

Bandera de Nueva Zelanda

AS/NZS ISO/IEC 27002:2006
Bandera de Brasil ISO/IEC NBR 17799/2007 - 27002
Bandera de la República Checa ČSN ISO/IEC 27002:2006
Bandera de Dinamarca DS484:2005
Bandera de Estonia EVS-ISO/IEC 17799:2003, 2005 versión en traducción
Bandera de Japón JIS Q 27002
Bandera de Lituania LST ISO/IEC 17799:2005
Bandera de los Países Bajos NEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción
Bandera de Polonia PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
Bandera del Perú NTP-ISO/IEC 17799:2007
Bandera de Bolivia NB-ISO/IEC 17799:2005
Bandera de Sudáfrica SANS 17799:2005
Bandera de España UNE 71501
Bandera de Suecia SS 627799
Bandera de Turquía TS ISO/IEC 27002
Bandera del Reino Unido BS ISO/IEC 27002:2005
Bandera de Uruguay UNIT/ISO 17799:2005
Bandera de Chile BS ISO/IEC 27002:2005
Bandera de Rusia ГОСТ/Р ИСО МЭК 17799-2005
Bandera de la República Popular China GB/T 22081-2008

Directrices del estándar

ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2005 del estándar incluye las siguientes once secciones principales:

  1. Política de Seguridad de la Información.
  2. Organización de la Seguridad de la Información.
  3. Gestión de Activos de Información.
  4. Seguridad de los Recursos Humanos.
  5. Seguridad Física y Ambiental.
  6. Gestión de las Comunicaciones y Operaciones.
  7. Control de Accesos.
  8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
  9. Gestión de Incidentes en la Seguridad de la Información.
  10. Gestión de Continuidad del Negocio.
  11. Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.

Certificación

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.

La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.

Referencias

  • ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
  • ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.

Véase también

Enlaces externos


Wikimedia foundation. 2010.

Игры ⚽ Поможем сделать НИР

Mira otros diccionarios:

  • ISO/IEC 17799 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • ISO/IEC 17799 — DIN ISO/IEC 27002 Bereich Informationstechnik Regelt IT Sicherheitsverfahren Leitfaden für das Informationssicherheits Management …   Deutsch Wikipedia

  • ISO/IEC 17799:2005 — изд.2 XA JTC 1/SC 27 Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности Изменения и дополнения: – ISO/IEC 17799:2005/Cor.1:2007 (изд.1 JTC 1/SC 27) раздел 35.040 …   Стандарты Международной организации по стандартизации (ИСО)

  • ISO/IEC 17799 — Наименование стандарта ISO/IEC 27002 до 2007 года. ISO 17799 в редакции 2000 года отменен версией 2005 го. Ссылки Альтернативный перевод ISO 17799:2005 (ISO 27002:2007) …   Википедия

  • Iso/cei 17799 — La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième édition de cette… …   Wikipédia en Français

  • ISO/CEI 17799 — La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième édition de cette… …   Wikipédia en Français

  • ISO/IEC 27002 — part of a growing family of ISO/IEC ISMS standards, the ISO/IEC 27000 series is an information security standard published by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) as… …   Wikipedia

  • ISO/CEI 17799:2005 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • Iso/cei 17799:2005 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • ISO/IEC 27002 — стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии Технологии безопасности Практические правила менеджмента информационной безопасности (англ. Information technology Security… …   Википедия

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”