12 sep. 2018

Actualización: TODAS las ISO 27000 (hasta junio 2018)

La norma ISO/IEC 27001, publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), se conoce como "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos".

La edición más reciente de la norma ISO/IEC 27001:2013 que revisa la edición anterior publicada en 2005.
ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI - ISMS). El SGSI presenta un enfoque sistemático para mantener segura la información confidencial. Gestiona personas, procesos y sistemas de TI mediante la aplicación de procesos de gestión de riesgos. El SGSI no solo satisface a las grandes organizaciones, sino también a las pequeñas y medianas empresas.

ISO 27001 está diseñado para ser utilizado junto con controles de soporte, un ejemplo del cual se publica en el documento, ISO/IEC 27002:2013. El cumplimiento de ISO 27001 puede ser formalmente evaluado y certificado por un Organismo de Certificación acreditado. El SGSI de una organización certificado según la norma ISO 27001 demuestra el compromiso de una organización con la seguridad de la información y brinda confianza a sus clientes, socios y partes interesadas.

Por su parte, la ISO 27002 detalla 114 controles de seguridad que están organizados en 14 secciones y 35 objetivos de control.

Para cumplir con los requisitos de certificación ISO 27001, el SGSI de una organización debe ser auditado por un organismo de certificación acreditado internacionalmente. Los requisitos en las secciones 4 a 10 en ISO 27001 son requisitos obligatorios sin exclusión permitida. Una vez superada la auditoría formal, el organismo de certificación otorga a una organización un certificado ISO/IEC 27001 para su SGSI. El certificado de ISO 27001 es válido por 3 años, después de lo cual el SGSI necesita ser recertificado.

Durante el período de validez de 3 años, una organización debe realizar el mantenimiento del certificado para confirmar que el SGSI sigue siendo compatible, funciona según lo especificado y mejora continuamente. Para mantener la certificación, el organismo de certificación visitará el sitio del SGSI al menos una vez al año para llevar a cabo una auditoría de vigilancia. Durante la auditoría de vigilancia, solo se auditará una parte del SGSI.

Hacia el final del período de tres años, el organismo de certificación audita todo el SGSI.

ISO/IEC 27001:2013

0. Introduction
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement

ISO/IEC 27002:2013

0. Introduction
1. Scope
2. Normative references
3. Terms and definitions
4. Structure of this standard
5. Information security policies
6. Organization of information security
7. Human resource security
8. Asset management
9. Access control
10. Cryptography
11. Physical and environmental security
12. Operations security
13. Communications security
14. System acquisition, development and maintenance
15. Supplier relationships
16. Information security incident management
17. Information security aspects of business continuity management
18. Compliance
Bibliography

The privacy principles of ISO/IEC 29100

1. Consent and choice
2. Purpose legitimacy and specification
3. Collection limitation
4. Data minimization
5. Use, retention and disclosure limitation
6. Accuracy and quality
7. Openness, transparency and notice
8. Individual participation and access
9. Accountability
10. Information security
11. Privacy compliance

Familia de ISO/IEC 27000 completa

La familia de normas ISO/IEC 27000 consiste en varias (más de 40) normas y directrices interrelacionadas, ya publicadas o en desarrollo, y contiene una serie de componentes estructurales importantes.

Estos componentes se centran en estándares normativos que describen los requisitos del SGSI (ISO 27001), los requisitos del organismo de certificación ISO 27006 para aquellos que certifican la conformidad con ISO 27001 y el marco de requisitos adicionales para implementaciones del SGSI específicas del sector (ISO 27009).

Otros estándares y directrices brindan orientación sobre diversos aspectos de la implementación de un SGSI, abordando un proceso genérico y una orientación específica del sector.

En este documento, publico el nombre de toda la famila de ISO 27000 así como fechas de revisión.

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!