R_ISO serie 27000ISO 17799_2010_2_906047

Resumen del trabajo.
ISO serie 27000 e ISO 17799
ISO 27000: Garantizar la Seguridad de la Información
ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO
International
Organization
for
Standardization)
e
IEC
(International
ElectrotechnicalCommission), que proporcionan un marco de gestión de la seguridad
de la información utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña. Es un estándar ISO que proporciona un modelo para establecer,
implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión
de Seguridad de la información (SGSI). Se basa en un ciclo de vida PDCA de mejora
continua, al igual que otras normas de sistemas de gestión (ISO 9001para calidad, ISO
14001 para medio ambiente, etc.).
Familias ISO 27000
A semejanza de otras familias de normas ISO, la 27000 está formada por:



ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido.
ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema
de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma
de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005 para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI.
ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
Seguridad de la Información. No es certificable.











ISO 27003: Consistirá en una guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los requerimientos de sus diferentes
fases.
ISO 27004: Especificará las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Consistirá en una guía de técnicas para la gestión del riesgo de la
Seguridad de la Información y servirá, por tanto, de apoyo a la ISO 27001 y a la
implantación de un SGSI.
ISO 27006: Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de Sistemas de Gestión de Seguridad de la Información.
ISO 27007: Consistirá en una guía de auditoría de un SGSI.
ISO 27011: Consistirá en una guía de gestión de seguridad de la información
específica para telecomunicaciones.
ISO 27031: Consistirá en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones.
ISO 27032: Consistirá en una guía relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de
redes, arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes.
ISO 27034: Consistirá en una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el
sector.
Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como
norma ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prácticas de
seguridad de la información.

Aplicable por toda organización, con independencia de su tamaño.

Flexible e independiente de cualquier solución de seguridad concreta:
recomendaciones neutrales con respecto a la tecnología.
CARACTERISTICAS DE ISO 17799
Las principales secciones de esta norma son:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Comparativo de estas normas ISO con COBIT.
Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de trabajo de
control de gobierno de TI autoritario, actualizado y aceptado internacionalmente que
se adopte por las empresas y se emplee en el día a día por los gerentes de negocio,
profesionales de TI y profesionales de aseguramiento.
COBIT está de pie para el Control del objetivo sobre la información y la tecnología
relacionada. COBIT expedido por ISACA (Sistema de Información de la norma de
control), una organización sin fines de lucro para el Gobierno de TI. La principal función
de COBIT es ayudar a la empresa, mapeo de sus procesos de TI a las prácticas de mejor
estándar de ISACA. COBIT general elegido por la empresa que la información de
auditoría del sistema de realizar, ya sea relacionado con la auditoría financiera o
generales de auditoría de TI.
ISO 27000 es mucho más diferente entre COBIT e ITIL, ISO27001, porque es un
estándar de seguridad, por lo que tiene, pero más profundo dominio más pequeño en
comparación con COBIT e ITIL.
ÁREA
Función
COBIT
ITIL
Asignación de TI
Mapeo de procesos
Gestión de Nivel de
de TI
Servicio
ISO27000
Información Marco de
Seguridad
4 Procesos y de
9 Procesos
dominio 34
ISACA
OGC
Emisor
La información de Gestionar de nivel
Aplicación
auditoría del sistema
de servicio
Firma de
Contabilidad,
Consultoría empresa
Consultor
Consultoría Empresa
Espacio
10 de dominio
ISO Junta
Cumplimiento con el
estándar de seguridad
Consultoría empresa,
empresa de seguridad,
Consultor de la Red