•Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).
- Requisitos para la especificación de sistemas de gestión de la seguridad de la información
- Proceso del análisis y gestión del riesgo
- Métricas y medidas de protección
- Guías de implantación
- Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.
IMPLANTAR EL SASI
- Definir el alcance y las fronteras del SASI en términos de las características del negocio.
- Definir la aproximación a la evaluación del riesgo de la organización.
- Identificar los riesgos.
- Analizar y evaluar los riesgos.
- Identificar y evaluar opciones para el tratamiento de riesgos.Seleccionar objetivos de control y controles para el tratamiento de riesgos.
- Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
- Preparar una declaración de aplicabilidad.
- Monitorear y revisar el SASI.
- Mantener y mejorar el SASI.
PROCESO ISMS
¿Qué debe incluir el SASI?
- Enunciados documentados de la política del SASI y los objetivos;
- El alcance del SASI;
- Procedimientos y controles que soportan el SASI;
- Una descripción de la metodología de evaluación de riesgos;
- El reporte de evaluación de riesgos;
- El plan de tratamiento del riesgo;
- Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles;
- Registros requeridos por este Estándar Internacional;
- La declaración de aplicabilidad.
Áreas que se deben cubrir
- Marco de las normas de gestión de la seguridad de la información.
- Sistema de gestión de la seguridad de la información.
- Análisis y gestión de riesgos.
- Controles y salvaguardas.
- Métricas.
- Auditoria.
- Directrices de implantación de los sistemas de gestión de la seguridad de la información.
- Difusión y concienciación.
- Así también, cabe considerar aspectos tales como los siguientes:
–Productos y servicios.
–Política y procedimientos.
–Personal
–Seguridad Física
–Esquemas de Reporte.
Medidas del ISMS
Objetivos
Activos, implementos para la seguridad, vulnerabilidades e impacto
ISO 27001
- Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”.
ISO 27002
- Está en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable.
ISO 27003
- Se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.
ISO 27004
- Publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005
- Consiste en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.
ISO 27006
- Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.
0 comentarios:
Publicar un comentario