Norma ISO 27002
Precedentes y evolución histórica[editar]
El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.
Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.
Publicación de la norma en diversos países[editar]
En España existe la publicación nacional UNE-ISO/IEC 17799, que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.
En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento está a cargo de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI (www.ongei.gob.pe).
En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la norma que establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO".
En Bolivia, se aprobó la primera traducción bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalización y calidad IBNORCA el 14 de noviembre de 2003. Durante el año 2007 se aprobó una actualización a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.
El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares equivalentes de diversos países:
| Países | Estándar equivalente |
|---|---|
  | AS/NZS ISO/IEC 27002:2006 |
 | ISO/IEC NBR 17799/2007 - 27002 |
 | ČSN ISO/IEC 27002:2006 |
 | DS484:2005 |
 | EVS-ISO/IEC 17799:2003, 2005 versión en traducción |
 | JIS Q 27002 |
 | LST ISO/IEC 17799:2005 |
 | NEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción |
 | PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005 |
 | NTP-ISO/IEC 17799:2007 |
 | NB-ISO/IEC 17799:2005 |
 | SANS 17799:2005 |
 | UNE 71501 |
 | SS 627799 |
 | TS ISO/IEC 27002 |
 | BS ISO/IEC 27002:2005 |
 | UNIT/ISO 17799:2005 |
 | BS ISO/IEC 27002:2005 |
 | ГОСТ/Р ИСО МЭК 17799-2005 |
 | GB/T 22081-2008 |
Directrices del estándar[editar]
ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".
La versión de 2013 del estándar describe los siguientes catorce dominios principales:
- Organización de la Seguridad de la Información.
- Seguridad de los Recursos Humanos.
- Gestión de los Activos.
- Control de Accesos.
- Criptografía.
- Seguridad Física y Ambiental.
- Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
- Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
- Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
- Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
- Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
- Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
- Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
Certificación[editar]
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo dePlan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.
Referencias[editar]
- ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
- ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.
Véase también[editar]
Enlaces externos[editar]
- www.iso27000.es Portal con información específica de la serie 27000 en español.
- Compra de estándares Adquisición de la norma ISO/IEC 17799 en inglés.
- AENOR Adquisición de la norma UNE-ISO/IEC 17799 en español.
- ISO 17799 / 27001 Grupo de usuario.
- Base de datos con todas las empresas certificadas y ámbitos de certificación.
- British Standards Institution con información específica de la serie 27000 en español.
- Registro Internacional de Auditores con información en español.
- Decreto Supremo No. 83 "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO" de la República de Chile
ISO/IEC 27002:2013 y los cambios en los dominios de control
Para terminar con la revisión de los cambios en la norma para gestionar la seguridad de la información, ISO 27000:2013, vamos a contar con detalle las novedades sobre la ISO/IEC 27002:2013, la cual está asociada con el Anexo A de la ISO/IEC 27001:2013.La norma ISO 27002 fue publicada originalmente como un cambio de nombre de la norma ISO 17799, la cual se basaba en un documento publicado por el gobierno del Reino Unido, que se convirtió en estándar en 1995. Fue en el 2000 cuando se publicó por primera vez como ISO 17799, y en 2005 aparece una nueva versión, junto con la publicación de la norma ISO 27001. No debe olvidarse que estos dos documentos están destinados a ser utilizados de forma complementaria.Dentro de ISO/IEC 27002 se extiende la información de los renovados anexos de ISO/IEC 27001-2013, donde básicamente se describen los dominios de control y los mecanismos de control, que pueden ser implementados dentro de una organización, siguiendo las directrices de ISO 27001. En esta nueva versión de la norma se encuentran los controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los cuales se encuentra expuesta la organización.Con la actualización de esta norma las organizaciones pueden encontrar una guía que sirva para la implementación de los controles de seguridad de la organización y de las prácticas más eficaces para gestionar la seguridad de la información. Aunque antes de pensar en cómo migrar al nuevo estándar ISO/IEC 27001:2013, es importante tener en cuenta que las categorías de los controles se han mezclado un poco, esto buscando que los dominios de control tengan una estructura más coherente.Dentro de los cambios interesantes de resaltar que lo relacionado con dispositivos móviles y teletrabajo que antes estaba asociado al Control de Accesos, ahora se encuentra dentro de la sección 6 “Organización de la Seguridad de la Información”. Y dentro de la sección de Control de Accesos se engloba lo relacionado con acceso al sistema operativo, a las aplicaciones y la información. Todo lo relacionado con Criptografía es un dominio de control nuevo, sección 10, dentro de la cual se incluyen todo los controles criptográficos sugeridos para una organización. En el caso de los controles que deben tenerse en cuenta en el caso de la recuperación de desastres están dentro de la sección 17.Además cabe resaltar que existen versiones específicas de la norma ISO/IEC 27002, enfocadas en diferentes tipos de empresas: manufactureras, sector de la salud, sector financiero, entre otros. Si bien la nomenclatura ISO es diferente, son normas que toman como referencia la ya mencionada ISO 27002 y por tanto lo tanto están alienados para la correcta gestión de la seguridad de la información.Nuevamente es importante recordar la importancia de conocer los cambios sobre los estándares, si bien no influyen sobre la efectividad de la gestión de la seguridad de la información si pueden ayudar a incrementar su eficiencia además de ser necesarios para cumplir con todos los requerimientos de cara a una recertificación.ISOTools organiza el primer curso online sobre la Nueva ISO 9001:2015
ISOTools organiza el primer curso online sobre la Nueva ISO 9001:2015
La norma ISO 9001 cuenta con 30 años de existencia y desde su primera publicación ha ido evolucionando hasta la actualidad para adaptarse a las necesidades de las...ISOTools Software Calidad ISO presenta el borrador de la ISO 9001:2015
ISOTools Software Calidad ISO presenta el borrador de la ISO 9001:2015
El próximo día 4 de septiembre, en el marco de sus webinars semanales, ISOTools va a hacer un recorrido por los principales cambios que va a suponer la revisión de la...Fundación Beatriz Beltrones recibe Norma ISO Internacional
México, 26 Nov- La Fundación Beatriz Beltrones para el diagnóstico oportuno del cáncer de la mujer, A. C. fue certificada por la American Trust Register, con el ISO 9001:2008, por acreditar los estándares internacionales en la...Norma ISO 9000 fomentará certificación de empresas mexicanas
México, 17 Sep.- Para el segundo semestre de 2015 se espera la nueva versión de la Norma ISO 9000, la cual integrará riesgos de empresas y productos, informó el coordinador general del Comité Nacional de Productividad e...Avanza PRI en certificación del Sistema de Gestión de Calidad ISO 9000
México, 19 Mar.- El Partido Revolucionario Institucional (PRI) avanza en el proceso de certificación del Sistema de Gestión de Calidad ISO 9000, luego de que en su estructura implantó nuevos esquemas de organización y...Industria busca mejores prácticas con norma internacional
Monterrey, 6 Ago.- A fin de elevar su confiabilidad de sus procesos y desarrollar mayor competitividad, sectores industriales de México buscan mejores prácticas a través de la norma ISO-55000, afirmó el presidente de la Asociación...Certifican a laboratorio de semillas con Norma ISO 9001-2008
México, 7 Feb.- El Laboratorio Central de Referencia (LCR) del Servicio Nacional de Inspección y Certificación de Semillas (SNICS) obtuvo la Certificación del Sistema de Gestión de Calidad Internacional (SGC), conforme a la Norma...Certifican por segunda vez a laboratorio químico de UNAM
México, 22 Ago.- Por segundo año consecutivo, la Entidad Mexicana de Acreditación (EMA) otorgó a la Unidad de Servicios de Apoyo a la Investigación y a la Industria de la Facultad de Química (FQ), el Reconocimiento al Compromiso...Publican norma mexicana para varilla corrugada
México, 10 Dic.- La Secretaría de Economía (SE) expidió este martes la declaratoria de vigencia de la Norma Mexicana NMX-B-457-CANACERO-2013, aplicable a la varilla corrugada de acero de baja aleación para refuerzo de concreto, la...Recertifican procesos didácticos del INEA
México, 9 Dic- El director general del Instituto Nacional para la Educación de los Adultos (INEA), Alfredo Llorente Martínez, indicó que la recertificación que obtuvo el organismo le compromete a renovar los procesos para seguir...Encuentra más sobre Norma Iso 27002 en ask.com
Ask.com es un motor de búsqueda de preguntas y respuestas que ayuda a la gente a conseguir más información sobre lo que está buscando. Deja que Ask te ayude a descubrir mejores resultados paraNorma Iso 27002
No hay comentarios.:
Publicar un comentario