Hasta el momento he hablado bastante de las ISO 270001 e ISO 27002 dejando de lado la serie ISO 27000 que es la que realmente cobija todo lo relacionado con la seguridad de la información, asi como ocurre con la ISO 9000 para todo el tema de calidad.
Otra norma de lineamientos es la ISO 27005, que proporciona guías sobre la gestión de riesgos. El proceso de gestión de riesgos en la seguridad de la información es un componente clave en el modelo PHVA (Planear-Hacer-Verificar-Actuar) de cualquier Sistema de Gestión relacionado con una Norma ISO..
Nuevas guías
Recientemente se han sumado a la familia las normas ISO 27003 y 27004. La ISO 27004 trata de la medición de la eficacia de los SGSI implementados, lo que permite a la gerencia monitorear el desempeño relacionado con la seguridad de su SGSI. La ISO 27004 trata sobre el “qué”, “cuándo” y “cómo” realizar mediciones en la fase “verificar del ciclo PHVA– o sea durante la fase de monitoreo y análisis del proceso de mejora continua. La ISO 27003 proporciona lineamientos en apoyo de la ISO 27001 respecto al proceso de planificación e implementación de los procesos del SGSI.
Normas de auditoría
La familia también tiene normas que dan lineamientos para la acreditación y para los auditores, en relación con auditorías a SGSI. La norma de acreditación ISO 27006 es una versión de la ISO 17021-1. La norma ISO 27006 proporciona lineamientos sobre cómo los organismos de certificación deben interpretar la ISO 17021-1 en el contexto de auditorías a SGSI, en cumplimiento con la norma ISO 27001.
Actualmente están siendo desarrolladas dos normas de lineamientos para auditorías, las ISO 27007 e ISO 27008. El trabajo en estas normas está siendo llevado a cabo en colaboración con miembros de los grupos involucrados en la revisión de las normas ISO 19011 e ISO 17021-2. La norma ISO 27007 trata de las auditorías según la norma ISO 27001, (actualmente las auditorias se hacen de acuerdo a la ISO 19011 que no satisface todos los requisitos de un SGSI) cubriendo temas tales como el alcance y la complejidad, la gestión de riesgos, la selección de controles y la competencia de los auditores de SGSI. La norma ISO 27008, por otro lado, trata de aspectos técnicos de los controles de seguridad definidos en el Anexo A de la ISO 27001. Según lo planeado, estas dos normas serán publicadas en el año 2011.
Normas para sectores específicos
Se está desarrollando un nuevo rango de normas que analizan los requisitos específicos de sectores y distintas aplicaciones que están adoptando la ISO 27001. Estas normas que no tiene como proposito sustituir a la ISO 27001, proporcionarán definiciones de requisitos adicionales específicos para ciertos sectores. El programa, actualmente, incluye:
ISO 27010 – para comunicaciones entre sectores
Esta norma considera varios requisitos de seguridad referidos a aquellos sectores y organizaciones involucrados en la infraestructura a nivel nacional. Incluye la seguridad de temas tales como el control de supervisión y la adquisición de datos.
ISO 27011 – para organizaciones de telecomunicaciones
Basada en la ISO 27002, esta norma fue emitida en el año 2008 y ha sido publicada en forma conjunta con el Sector de Normalización de Telecomunicaciones bajo el código X.1051.
ISO 27013 – integración de la ISO 20000-1 y la ISO 27001
Esta norma proporciona lineamientos para aquellas organizaciones que deseen integrar los sistemas de gestión de los servicios de TI y los de seguridad de la información, para beneficiarse de los elementos comunes en ambas normas. Por ejemplo, esta norma combina los sistemas de documentación, los de manejo de incidentes y los procesos de prestación de los servicios de seguridad, de monitoreo y de revisión. En otras palabras, esta Norma integra el conocido ITIL que bajo estándares ISO es la Norma ISO 20000 y los sistemas de gestión de seguridad de la información o ISO 27000.
ISO 27014 – marco de gobernabilidad de la seguridad de la información
Esta norma da apoyo al aspecto de la seguridad de la información referido al marco de gobernabilidad corporativa. La norma ISO 27001 es un marco ideal para la seguridad de la información ya que incluye los tres elementos clave de la gobernabilidad: gestión de riesgos, sistemas de control y la función de auditoría.
ISO 27015 – para el sector financiero y de seguros
Esta norma trata de los requisitos específicos de aquellas organizaciones de los sectores financiero y de seguros que están adoptando la norma ISO 27001.
Este es el estado actual de la familia ISO 27000, cualquier novedad al respecto sera oportunamente publicada.
Tomado de http://spain.irca.org
4 comentarios:
Hola
En efecto la circular 052 exige la implementación de la ISO 27001, y dicha implementación no estaría completa sin incluir los 133 controles (o los que apliquen según el SOA)
Gracias por la recomendacion de los cursos, la revisare!!!
Hola Leonardo;
Yo estoy en España pero me gustaría saber si esta exigencia se esta cumpliendo..es decir...todas las entidades financieras han implantado y certificado la normativa ISO 27001?
Realmente nohe escuchado o leido algo sobre "el primer banco en Colombia en eimplementar la ISO 27000" por lo que considero que en muchisimos casos se encuentra en "implementación", lo cual me parece un incumplimiento a la circular pues tengo entendido que su plazo maximo ya caduco.
A quienes pueda interesar SGS y DEUSTO (Doble titulación) ha lanzado un curso de HACKIN ETICO ON-LINE. Solo se requiere tener instalada la herramienta gratuita de virtualización VMware Server 2.0(se obtiene http://downloads.vmware.com/d/info/datacenter_downloads/vmware_server/2_0).
Máquina virtual instalada: Backtrack 4.0 (se obtiene de http://www.backtrack-linux.org/downloads/).
Visor de PDF y acceso a internet.
Esta subvencionada por la Fundación Tripartita.
Publicar un comentario