Normas ISO 27k

Posted onAuthorASILeave a comment

La norma ISO/IEC 27000 ofrece una serie de recomendaciones de mejores prácticas para la gestión de la seguridad de la información. Puede ser aplicada en todo tipo de organizaciones, sin importar su tamaño, para mantener un Sistema de Gestión de la Seguridad de  la Información (o ISMS, por sus siglas en inglés).

La implementación de la norma ISO/IEC 27000 parte de la definición del alcance del proyecto (todo el negocio o una área específica del mismo), su política general de seguridad, la evaluación de los riesgos de seguridad de la información, misma que servirá de base para determinar los controles de  seguridad adecuados a los riesgos identificados.

Las normas ISO 27001 y 27002 son las más importantes de la familia.  Las normas publicadas a la fecha de la familia ISO27000 son:

  • ISO27000 Overview of ISMS. Proporciona una visión general de los sistemas de gestión de la seguridad de la información y la terminología y definiciones que serán utilizados en la familia del estándar.
  • ISO27001 ISMS Requirements. Especifica los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información documentado en el contexto de los riesgos de la organización.
  • ISO27002 Code of Practice for Information Security Management. Directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización.
  • ISO27003 ISMS Implementation Guidance. Guía general para la implementación del sistema de gestión ISMS.
  • ISO27004 Metrics Concerning ISMS. Guía sobre el desarrollo y uso de métricas para evaluar la eficacia del ISMS.
  • ISO27005 ISRM Standard. Directrices para la gestión de riesgos de la seguridad de la información.
  • ISO27006 Audit and Certification of ISMS. Especifica los requisitos y proporciona una guía para los organismos que realizan la auditoría y la certificación del ISMS.
  • ISO27007 ISMS Auditing. Directriz que los auditores internos y externos pueden seguir a fin de completar una auditoría del ISMS.
  • ISO27008 Guidelines for Auditors on Information Security Controls. Lineamientos para los auditores en la revisión de la implementación y operación de los controles de la seguridad de la información dentro de una organización.
  • ISO27010 InfoSec Communications. Lineamientos sobre la seguridad de la información entre sectores y organizaciones.
  • ISO27011 ISM in Telecom Organizations. Directrices para apoyar la implementación de la gestión de la seguridad de la información (ISM) en las organizaciones de telecomunicaciones.
  • ISO27031 Guidelines for ICT Readiness for Business Continuity. Lineamientos para identificar y especificar los aspectos para mejorar la preparación de la tecnología de la comunicación e  información (ICT) de la organización para garantizar la continuidad del negocio.
  • ISO27033-1 Network Security – Part 1. Define y describe los conceptos asociados a la seguridad de red y proporciona guía de gestión sobre la seguridad de la red.
  • ISO27033-3 Reference Networking Scenarios. Describe las amenazas, las técnicas de diseño y los problemas de control asociados a escenarios de red.
  • ISO27034-1 Application Security Overview and Concepts. Visión general de la seguridad de las aplicaciones. Introduce las definiciones, conceptos, principios y procesos que intervienen en la seguridad de aplicaciones.
  • ISO27035 Information Security Incident Management. Detalla un enfoque de mejores prácticas para la gestión de incidentes de seguridad de información.
  • ISO27799 Health Informatics. Controles para la gestión de la seguridad de la información de salud. Compatible con la interpretación y aplicación de la norma ISO27002 para la protección de la información personal de salud.

En preparación se encuentran:

  • ISO27013 Guideline on the Integrated Implementation of ISO/IEC 20000-1 and ISO/IEC 27001.
  • ISO27014 Information Security Governance Framework
  • ISO27015 Information Security Management Guidelines for the Finance and Insurance Sectors.
  • ISO27016 Guidelines for Organisational Expenditure on Informational Security Controls.
  • ISO27032 Guideline for Cybersecurity.
  • ISO27033 Network Security
    • ISO27033-2 Guidelines for the Design and Implementation of Network Security.
    • ISO27033-4 Securing Communications Between Networks Using Security Gateways.
    • ISO27033-5 Securing Virtual Private Networks.
    • ISO27033-6 IP Convergence.
    • ISO27033-7 Guidelines for Securing Wireless Networking.
    • ISO27033-8 Guidelines for Securing Other Network Related Aspects.
  • ISO27034 Application Security
    • ISO27034-2 Organisation Normative Framework.
    • ISO27034-3 Application Security Management Process.
    • ISO27034-4 Application Security Validation.
    • ISO27034-5 Protocols and Application Security Control Data Structure.
    • ISO27034-6 Security Guidance for Specific Applications.
  • ISO27036 Information Security for Supplier Relationships.
    • ISO27036-1 Overview and Concepts.
    • ISO27036-2 Formal Requirements with Guidance on Implementation.
    • ISO27036-3 Guidelines for ICT Supply Chain Security.
  • ISO27037 Guidelines for Identification, Collection and Acquisition and Preservation of Digital Evidence.
  • ISO27038 Security Techniques, Specification for Digital Redaction.
  • ISO27040 Storage Security.

 

Deja una respuesta