ISO / IEC 27007:2011 Tecnologa de la informacin - Tcnicas de seguridad Directrices para la gestin de los sistemas de seguridad de la informacin de auditora

Esta norma proporciona orientacin para los organismos de certificacin acreditados, auditores internos, auditores externos del partido / tercera SGSI y otros en contra de auditora ISO / IEC 27001 (auditora es decir, el sistema de gestin para el cumplimiento de la norma). ISO / IEC 27007 y refleja en gran parte se refiere a la norma ISO 19011 , la norma ISO de calidad y auditora de sistemas de gestin ambiental - "sistemas de gestin", por supuesto, es el factor comn que une a los estndares ISO27k. Proporciona adicional SGSI orientacin especfica. ISO / IEC 27007 tambin se basa en la norma ISO 17021 Evaluacin de la Conformidad - Requisitos para los organismos que realizan la auditora y certificacin de sistemas de gestin y se alinea con la norma ISO / IEC 27006 , el organismo de certificacin SGSI norma de acreditacin.

Estructura
La norma abarca los aspectos especficos del SGSI de la auditora de cumplimiento:

Gestin del programa de auditora de SGSI (determinando qu auditar, cundo y cmo; asignacin de auditores apropiados, la gestin de riesgos de auditora, el mantenimiento de registros de auditora; mejora continua del proceso); Realizacin de un SGSI MS auditora (proceso de auditora - la planificacin, conduccin, las principales actividades de auditora, incluyendo el trabajo de campo, anlisis, reporte y seguimiento-); Gestin de ISMS auditores (competencias, habilidades, atributos, evaluacin).

Estado de la norma
La norma fue publicada en noviembre de 2011 y est disponible para CHF122 de la tienda web de ISO / IEC . [Por cierto, la norma ISO 19011 fue revisado y reeditado en 2011. Est disponible para CHF146 desde la tienda web de ISO / IEC .]

Otras directrices para la auditora de SGSI

Aparte de '27007, aqu estn algunas fuentes alternativas / complementarias de asesoramiento sobre la auditora del SGSI:

El Foro ISO27k desarrollado una Directriz de Auditora de SGSI como su contribucin a la norma ISO / IEC 27007. La gua se distribuye bajo una licencia Creative Commons como un servicio pblico a los auditores ISMS y revisores. Descargue la Auditora libre SGSI liberacin Directriz 1 en formato PDF aqu o, si usted pertenece al Foro , por todos los medios bajar la versin MS Word en la zona del Frum archivos; ISACA liberado Directriz de Auditora de G40 sobre Revisin de las prcticas de gestin de seguridad . La gua explica vista de ISACA de la forma en que los auditores deben auditar el SGSI. En concreto, menciona un SGSI ISO27k; Si desea auditar la seguridad de la informacin controla en comparacin con el sistema de gestin, vase la norma ISO / IEC 27008 .

ISO / IEC 27010:2012 Tecnologa de la informacin - Tcnicas de seguridad Gestin de Seguridad de la Informacin para las comunicaciones entre los sectores y entre organizaciones
Introduccin
Esta norma proporciona orientacin en relacin con el intercambio de informacin sobre los riesgos de seguridad de la informacin, los controles, los problemas y / o incidentes que abarcan los lmites entre sectores de la industria y / o naciones, en particular las que afectan a la "infraestructura crtica".

Alcance
ISO / IEC 27010 proporciona una gua sobre seguridad de la informacin y las comunicaciones interfuncionamiento entre las industrias en los mismos sectores, en diferentes sectores de la industria y con los gobiernos, ya sea en tiempos de crisis y para proteger las infraestructuras crticas o para el reconocimiento mutuo en circunstancias normales de trabajo para cumplir con reglamentacin legal, y de las obligaciones contractuales.

Finalidad y justificacin
A veces es necesario compartir informacin confidencial sobre las amenazas, las vulnerabilidades de seguridad de informacin y / o incidentes entre o dentro de una comunidad de organizaciones, por ejemplo, cuando las empresas privadas, los gobiernos, la polica y los organismos de tipo CERT-estn colaborando en la investigacin, evaluacin y resolucin de graves ataques cibernticos panorganizacionales e internacionales a menudo o pan-jurisdiccional. Tal informacin es a menudo muy sensible y puede ser necesario, por ejemplo, estar restringida a ciertos individuos dentro de las organizaciones receptoras. Las fuentes de informacin pueden necesitar ser protegidos por permanecer en el anonimato. Estos intercambios de informacin suelen ocurrir en un ambiente muy cargado y estresante bajo intensas presiones de tiempo - apenas el ambiente ms propicio para el establecimiento de relaciones de trabajo de confianza y acordar adecuados controles de seguridad de informacin. La norma debe ayudar a trazar normas bsicas comunes de seguridad. La norma proporciona orientacin sobre los mtodos, modelos, procesos, polticas, controles, protocolos y otros mecanismos para el intercambio de informacin de forma segura con contrapartes de confianza en la inteligencia de que importantes principios de seguridad de la informacin ser respetada.

Los riesgos y controles asociados con el intercambio de informacin de esta manera

Si bien los riesgos reales de informacin de seguridad derivados de la puesta en comn de informacin sobre incidentes de seguridad de la informacin, etc. entre organizaciones dispares, por supuesto, depender de las caractersticas especficas de la situacin particular en cuestin (por ejemplo, la naturaleza de los incidentes, los protagonistas, a las vctimas y las organizaciones implicadas), la siguiente lista genrica de posibles problemas de seguridad o da una idea de la amplia serie de cuestiones que tal vez sea necesario tener en cuenta lo siguiente:

El establecimiento de criterios generales a los aspectos de seguridad de informacin del proceso (p. ej. Escribir y aplicacin de polticas y procedimientos, junto con actividades de formacin y sensibilizacin para los involucrados en el proceso, y posiblemente confirmar la evaluacin independiente o t auditoras que las medidas se ajustan a la norma ISO / IEC 27010 y / o otras normas aplicables ISO27k tales como 27001 , 27002 y 27005 ); La divulgacin de informacin inicial y el conocimiento sobre la situacin actual antes de la formalizacin de los acuerdos, con el fin de solicitar al beneficiario / s de considerar su papel y para la exposicin de las partes a considerar los riesgos involucrados en la divulgacin de informacin; Confa en las relaciones entre las organizaciones directamente interesadas, la comunicacin y la colaboracin; Las relaciones de confianza con otras organizaciones que tambin pueden estar involucrados (por ej. Si las comunicaciones se realizan a travs de algn tipo de agencia) o son de alguna manera dibujado en la situacin, incluidos los socios de negocios y aquellos que pueden tener que ser informado o participado en el proceso, un deber legal o de otro tipo;

Determinar y declarar o definir los requisitos especficos de seguridad de la informacin (implica algn tipo de anlisis de riesgos de seguridad de informacin de las partes que describen con seguridad, y tal vez por las partes receptoras); Comunicar los riesgos de seguridad y los requisitos de control, obligaciones, expectativas o pasivos sin ambigedades (por ejemplo, utilizando un lxico mutuamente entendido de trminos basados en ISO27k y clasificaciones comparables de informacin.); Evaluar y aceptar los riesgos de seguridad y obligaciones (por ejemplo, en algn tipo de contrato o acuerdo, cuya existencia y contenido tambin puede ser confidencial.); Comunicar informacin de forma segura (por ejemplo, el uso de controles criptogrficos adecuados), evitando que sea enviado a las contrapartes equivocadas, interceptado, eliminado falseadas, duplicarse, repudiada, daados, modificados o no puesto en duda deliberadamente por un tercero o por medio de controles inadecuados y errores ; Versin controles y la autorizacin apropiada tanto para la divulgacin y aceptacin de la informacin valiosa; Los riesgos y los controles relativos a la recopilacin, el anlisis, la propiedad, la proteccin y la divulgacin posterior de la informacin sobre la situacin actual de las partes beneficiarias que participan en una investigacin (por ejemplo, limitaciones en el uso de la informacin para fines que no estn directamente relacionados con el incidente en cuestin); La proteccin adecuada de la informacin y tal vez otros activos confiados a las organizaciones beneficiarias y los individuos; Cumplimiento y donde las actividades pertinentes de la aplicacin, tales como la imposicin de sanciones, etc. si las promesas se rompen, la confianza est fuera de lugar o se producen accidentes; Retrasos inaceptables u otras restricciones sobre el envo de informacin importante debido a la evaluacin de riesgos, la seguridad y las actividades conexas; Los posibles efectos sobre la obtencin, manipulacin, almacenamiento, anlisis y presentacin de evidencia forense; Toda limitacin de las revelaciones posteriores a los incidentes como los informes de gestin de incidentes, pblicos comunicados de prensa, etc accin legal.; La mejora de procesos sistemticos, lo que lleva a una mayor confianza y fuertes medidas de seguridad para situaciones futuras.

[Nota: la norma publicada no menciona todos estos riesgos de forma explcita.]

Estado de la norma
ISO / IEC 27010 fue publicado en abril de 2012. Est disponible para CHF134 desde la tienda web de ISO / IEC .

ISO / IEC 27011:2008 Tecnologa de la informacin - Tcnicas de seguridad Informacin de las directrices de gestin de seguridad para las organizaciones de telecomunicaciones basadas en la norma ISO / IEC 27002
Esta gua de implementacin del SGSI para el sector de Telecomunicaciones fue desarrollado por la UIT-T y la ISO / IEC JTC1/SC27 y publicado conjuntamente por ambos UIT-T X.1051 e ISO / IEC 27011. Recomendacin UIT-T X.1051 seguridad de la informacin del sistema de gestin Requisitos para telecomunicaciones (SGSI-T) fue publicado originalmente en Ingls en julio de 2004, seguido por traducciones al espaol, francs y ruso en 2005. Se basa en las normas ISMS existentes en ese momento, es decir.:

Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad para la interconexin de sistemas abiertos para aplicaciones del CCITT. Recomendacin UIT-T X.805 (2003), Arquitectura de seguridad para sistemas de extremo a extremo de la comunicacin. ISO 9001:2000, Sistemas de gestin de calidad - Requisitos. ISO 14001:1996, Sistemas de gestin ambiental - Especificacin con orientacin para su uso. ISO / IEC 17799:2000, Tecnologa de la informacin - Cdigo de buenas prcticas para la gestin de informacin de seguridad (ahora conocida como ISO / IEC 27002 ). ISO / IEC Guide 73:2002, gestin de riesgos - Vocabulario - Directrices para el uso de los estndares. BS 7799-2:2002 Seguridad de la Informacin, Sistemas de Gestin - Requisitos con orientacin para su uso (ahora conocida como ISO / IEC 27001 ).

Los estados de resumen: "Para las organizaciones de telecomunicaciones, la informacin y los procesos de apoyo, instalaciones, telecomunicaciones, redes y lneas son activos comerciales importantes. Para que las organizaciones de telecomunicaciones para gestionar adecuadamente estos activos de la empresa y para la correcta y

exitosamente continuar con sus actividades de negocio, la gestin de seguridad de la informacin es extremadamente necesario. Esta Recomendacin proporciona los requisitos en materia de gestin de seguridad de informacin para las organizaciones de telecomunicaciones. Esta Recomendacin especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de seguridad documentada informacin de gestin (SGSI) en el contexto de los riesgos del negocio de telecomunicaciones en general. Especifica los requisitos para la aplicacin de controles de seguridad adaptados a las necesidades de telecomunicaciones o partes de los mismos ". UIT-T propuso extender la norma ISO / IEC 27011 con dos nuevas partes, a saber:

Directrices de seguridad para la gestin de las organizaciones de telecomunicaciones pequeas y medianas empresas [X.sgsm]: gua para la aplicacin de la gestin de seguridad de informacin basada en X.1051 (ISO / IEC 27011); Directrices de gestin de activos [X.amg]: gua de buenas prcticas de gestin de activos para las organizaciones de telecomunicaciones.

Mientras tanto, la norma ISO / IEC JTC1/SC27 parece que va a actualizar la norma para reflejar las revisiones de la norma ISO / IEC 27001 y 27002.

Estado de la norma
La norma fue publicada en 2008. Est disponible para CHF146 desde la tienda web de ISO / IEC . SC27 ha confirmado que el estndar ser revisado en 2013-2014 (despus de la norma ISO / IEC 27002 es revisado y estable).