Scribd Logo
Carica

Benvenuto in Scribd!

  • 6-Iso Iec 27000

    Caricato da

    freddy_itsm
    9 visualizzazioni8 pagine
    framework

    Titolo originale

    6-ISO IEC 27000

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PPTX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    framework

    Copyright:

    © All Rights Reserved
    Scarica in formato PPTX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    9 visualizzazioni8 pagine

    6-Iso Iec 27000

    Caricato da

    freddy_itsm
    framework

    Copyright:

    © All Rights Reserved
    Scarica in formato PPTX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 8

    Antecedentes

    La norma BS 7799 de BSI aparece por primera vez en 1995,


    con objeto de proporcionar a cualquier empresa -britnica o
    no- un conjunto de buenas prcticas para la gestin de la
    seguridad de su informacin.

    En el ao 1999 las dos partes de la Norma BS 7799 se


    revisaron y la primera parte se adopt por ISO e IEC, sin
    cambios sustanciales, como ISO/IEC 17799 en el ao 2000.

    En 2002, se revis la segunda parte de la norma (BS 77992) para adecuarse a la filosofa de normas ISO/IEC de
    sistemas de gestin.

    En el ao 2005 la Norma BS 7799-2 se public por ISO e


    IEC, con algunos cambios, como norma ISO/IEC 27001

    DEFINICIN:

    ISO/IEC 27000 es un conjunto de estndares


    desarrollados o en fase de desarrollo por ISO
    (International Organization for Standardization) e IEC
    (International Electrotechnical Commission), que
    proporcionan un marco de gestin de la seguridad
    de la informacin utilizable por cualquier tipo de
    organizacin, pblica o privada, grande o pequea.

    Es un estndar para la seguridad de la informacin


    (Tecnologa de Informacin - Tcnicas de Seguridad Sistemas de Administracin de Seguridad de la
    Informacin - Requerimientos) .

    La Serie de ISO/IEC 27 000

    ISO/IEC 27000: Es un vocabulario estndar para el


    SGSI

    ISO/IEC 27001: Es la certificacin que deben obtener


    las organizaciones. Norma que especifica los
    requisitos para la implementacin del SGSI. Es la
    norma ms importante.

    ISO/IEC 27002: Es cdigo de buenas prcticas para la


    gestin de seguridad de la informacin.

    ISO/IEC 27003: Son directrices para la implementacin


    de un SGSI. Es el soporte de la norma ISO/IEC 27001

    ISO/IEC 27004: Son mtricas para la gestin de


    seguridad de la informacin. Es la que proporciona
    recomendaciones de quin, cundo y cmo realizar
    mediciones de seguridad de la informacin.

    ISO/IEC 27005: Trata la gestin de riesgos en


    seguridad de la informacin. Es la que proporciona
    recomendaciones y lineamientos de mtodos y
    tcnicas de evaluacin de riesgos de seguridad de la
    informacin

    ISO/IEC 27006: Requisitos para la acreditacin de las


    organizaciones que proporcionan la certificacin de
    los sistemas de gestin de la seguridad de la
    informacin

    ISO/IEC 27007: Es una gua para auditar al SGSI.

    ISO 27001, se basa en la preservacin de su


    confidencialidad, integridad y disponibilidad, as como la
    de los sistemas aplicados para su tratamiento.

    Confidencialidad: la informacin no se pone a


    disposicin ni se revela a individuos, entidades o
    procesos no autorizados.

    Integridad:
    mantenimiento
    de
    la
    exactitud
    y
    completitud de la informacin y sus mtodos de proceso.

    Disponibilidad: acceso y utilizacin de la informacin y


    los sistemas de tratamiento de la misma por parte de los
    individuos o procesos autorizados cuando lo requieran.

    Fases (Modelo Deming)

    Fase Planificacin (Plan) [establecer el SGSI]: Establecer la


    poltica, objetivos, procesos y procedimientos relativos a la
    gestin del riesgo y mejorar la seguridad de la informacin de la
    organizacin para ofrecer resultados de acuerdo con las polticas
    y objetivos generales de la organizacin.

    Fase Ejecucin (Do) [implementar y gestionar el SGSI]:


    Implementar y gestionar el SGSI de acuerdo a su poltica,
    controles, procesos y procedimientos.

    Fase Seguimiento (Check) [monitorizar y revisar el SGSI]:


    Medir y revisar las prestaciones de los procesos del SGSI.

    Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar


    acciones correctivas y preventivas basadas en auditoras y
    revisiones internas en otra informacin relevante a fin de
    alcanzar la mejora continua del SGSI.

    Ventajas

    Mejora la integracin con otros Sistemas de Gestin, ya


    que se encuentra con la estructura de alto nivel (Anexo
    SL), donde los trminos y las definiciones ayudan a
    implementar.

    Todas las defunciones que encontramos en el estndar ISO


    27001 y las inconsistencias se han eliminado.

    Los riesgos en la Seguridad de la Informacin debe ser


    abordada en su conjunto.

    Todos los documentos que se encuentran requeridos estn


    claramente establecidos y hacen referencia, tanto al
    tamao de la organizacin como a la complejidad de esta.

    Se mencionan todas las acciones preventivas que no


    existan anteriormente.

    Desventajas

    Es una abstraccin y es un nivel alto, que no se


    encuentran detallados.

    Todos los requisitos son un tanto ms difciles de


    interpretar, ya que se incorporan nuevos conceptos.

    No se menciona en ningn momento en toda la


    norma el enfoque que se le d al PDCA.

    No se mencionan en ningn momento las polticas


    dentro del Sistema de Gestin de Seguridad de la
    Informacin.

    No podemos encontrar una descripcin detallada de


    la identificacin de los riesgos.

    Potrebbero piacerti anche