La familia de Normas ISO/IEC 27000
Publicado por Martín Pérez
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000. En los últimos meses ha habido cambios relacionados con la numeración de dichas normas.
Hace unos días se publicó la Norma ISO/IEC 27006 “Information technology - Security techniques — Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación.
La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
Esta previsto que la numeración del resto de las normas sean:
ISO/IEC 27000: Fundamentos y vocabulario.
ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
ISO/IEC 27002 (actualmente ISO/IEC 17799-2005, previamente la norma BS 7799 Parte 1 y la norma ISO/IEC 17799): Código de buenas prácticas para la gestión de Seguridad de la Información.
ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI - ISMS). Es el soporte de la norma ISO/IEC 27001.
ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de seguridad en la información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001.
ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. Esta norma especifica requisitos específicos para la certificación de ISMS y es usada en conjunto con la norma 17021-1, la norma genérico de acreditación.
La serie de Normas de la 27010 a la 27019, guías y documentos interpretativos y específicos de los SGSI. Este trabajo lo desarrollad el comité ISO/IEC JTC1/SC27:
ISO/IEC 27011: requisitos para telecomunicaciones
ISO/IEC 27012: requisitos para la industria automotriz
ISO/IEC 27013: requisitos para la asociación mundial de loterías.
ISO/IEC 27014: requisitos para sistemas de información en los transportes.
ISO/IEC 27015: Auditorías y revisiones.
ISO/IEC 27016: Evaluación y pruebas de la eficacia del plan y procedimientos SGSI.
En lo relativo a las Normas de continuidad de negocio y outsourcing, se le ha atribuido la serie de numeración de la 27030 a la 27039, esta adjudicada por el momento la siguiente numeración:
ISO/IEC 27030: Vocabulario.
ISO/IEC 27031: Gestión de Incidentes IS.
ISO/IEC 27032: Seguridad de redes informática (Parte 1-5).
ISO/IEC 27033: Detección de intrusiones (2 partes).
ISO/IEC 27034: Servicios TTP.
SC27 es el comité responsable por todas las norma relacionadas con ISMS y el profesor Edward Humphreys es su presidente.
Fuente: http://sociedaddelainformacion.wordpress.com/2007/02/25/la-familia-de-normas-isoiec-27000/
http://bitacora.palomallaneza.com/?p=60
http://spain.irca.org/inform/issue14/ISO27007.html
http://www.iso27000.es/
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000. En los últimos meses ha habido cambios relacionados con la numeración de dichas normas.
Hace unos días se publicó la Norma ISO/IEC 27006 “Information technology - Security techniques — Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación.
La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
Esta previsto que la numeración del resto de las normas sean:
ISO/IEC 27000: Fundamentos y vocabulario.
ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
ISO/IEC 27002 (actualmente ISO/IEC 17799-2005, previamente la norma BS 7799 Parte 1 y la norma ISO/IEC 17799): Código de buenas prácticas para la gestión de Seguridad de la Información.
ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI - ISMS). Es el soporte de la norma ISO/IEC 27001.
ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de seguridad en la información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001.
ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. Esta norma especifica requisitos específicos para la certificación de ISMS y es usada en conjunto con la norma 17021-1, la norma genérico de acreditación.
La serie de Normas de la 27010 a la 27019, guías y documentos interpretativos y específicos de los SGSI. Este trabajo lo desarrollad el comité ISO/IEC JTC1/SC27:
ISO/IEC 27011: requisitos para telecomunicaciones
ISO/IEC 27012: requisitos para la industria automotriz
ISO/IEC 27013: requisitos para la asociación mundial de loterías.
ISO/IEC 27014: requisitos para sistemas de información en los transportes.
ISO/IEC 27015: Auditorías y revisiones.
ISO/IEC 27016: Evaluación y pruebas de la eficacia del plan y procedimientos SGSI.
En lo relativo a las Normas de continuidad de negocio y outsourcing, se le ha atribuido la serie de numeración de la 27030 a la 27039, esta adjudicada por el momento la siguiente numeración:
ISO/IEC 27030: Vocabulario.
ISO/IEC 27031: Gestión de Incidentes IS.
ISO/IEC 27032: Seguridad de redes informática (Parte 1-5).
ISO/IEC 27033: Detección de intrusiones (2 partes).
ISO/IEC 27034: Servicios TTP.
SC27 es el comité responsable por todas las norma relacionadas con ISMS y el profesor Edward Humphreys es su presidente.
Fuente: http://sociedaddelainformacion.wordpress.com/2007/02/25/la-familia-de-normas-isoiec-27000/
http://bitacora.palomallaneza.com/?p=60
http://spain.irca.org/inform/issue14/ISO27007.html
http://www.iso27000.es/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!