26 abr 2017

Noticias sobre nuevas versiones de la familia ISO 27000

Esta semana finalizó la reunión formal ISO/IEC JTC1/SC27 WG1 en Nueva Zelanda, con el objetivo de votar y registrar las decisiones y los progresos para la siguiente publicación de la familia ISO:27000.

La próxima reunión del SC27 será en Berlín a finales de octubre de 2017, luego en Wuhan en China en abril de 2018.

Las principales resoluciones de esta reunión fueron:
  • Una revisión menor actualizará ISO / IEC 27000: 2016 para reflejar la reciente publicación de 27002, 27004 y 27011.
  • El uso gubernamental y regulatorio de la 27001 se convertirá en el Standing Document 7 y se mantendrá para uso interno del comité.
  • ISO 27002: se generarán dos versiones de la norma, mostrando estructuras alternativas para comentar en la siguiente etapa.
  • ISOO 27005: se producirá una especificación de diseño revisada para la próxima revisión, más un corrigendum para la norma actual.
  • ISO 27007: se producirá texto revisado para FDIS.
  • ISO 27008 se producirá texto revisado para un DTS.
  • ISO 27009 se revisará en forma anticipada en lugar de publicar un corrigendum, y los "casos de uso" que le acompañan se convertirán en un SD.
  • ISO 27014: sobre gobernanza de la seguridad de la información, se generará un NWIP para revisar la norma, con un documento básico.
  • ISO 27019: se producirá texto revisado para FDIS.
  • ISO 27021: sobre las competencias de los profesionales de ISMS, también irá a FDIS (a pesar de cuatro desaprobaciones, lo que indica preocupaciones con esta norma).
  • ISO 27102: sobre el seguro de ciberseguridad, se producirá un primer borrador de trabajo siguiente.
  • Los marcos de seguridad cibernética y el trabajo de resiliencia de la seguridad cibernética se combinarán inicialmente en un SD que se convertirá en un PDTR.
Finalmente, se ha publicado la ISO/IEC 27003:2017. Esta es una versión completamente revisada de la guía de implementación del Sistema de Gestión de Seguridad de la Información (SGSI), publicada originalmente en 2010.

La nueva versión es una mejora significativa sobre la versión 2010. Sigue la estructura de ISO/IEC 27001, proporcionando un asesoramiento pragmático sección por sección sobre cómo satisfacer los requisitos.

Las siguientes normas básicas ISO27k tienen una base sólida para diseñar e implementar un sistema de gestión de riesgos de información:

    ISO / IEC 27000: 2016 - la visión general y el glosario (descarga GRATUITA!)
    ISO / IEC 27001: 2013 - especificaciones ISMS formalizadas
    ISO / IEC 27002: 2013 - controles de seguridad de la información
    ISO / IEC 27003: 2017 - la nueva directriz de implementación
    ISO / IEC 27004: 2016 - métricas de seguridad

Desafortunadamente, la ISO 27005 sobre gestión del riesgo de la información quedó desactualizada con respecto al conjunto y no se espera que aparezca una versión revisada al menos en un par de años.

Mientras tanto, ISO 27003 da consejos útiles en esta área, y la ISO 31000:2009 (un estándar de gestión de riesgo muy respetado) se aplica fácilmente a los riesgos de la información. Existen otros estándares, métodos y enfoques de gestión del riesgo de la información, todos los cuales tienen sus ventajas y desventajas: si su organización ya está familiarizada con otro enfoque de la gestión de riesgos, probablemente se puede aplicar directamente o adaptarse a la demanda Gestión del riesgo de la información.

Para obtener más información sobre las normas ISO27k, la implementación del SGSI, la gestión del riesgo de la información y así sucesivamente, se puede consultar las preguntas frecuentes de ISO27k, consultar en el foro o consultar en ISO 27000 Security.

Fuente: NoticeBored

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!