RIESGOS PROFESIONALES
Enviado por SANTOSTP • 7 de Diciembre de 2012 • 494 Palabras (2 Páginas) • 352 Visitas
ANÁLISIS DE LA ISO 27001
Se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente:
“Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
- SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS:
Information Security Managemet System).
- Valoración de riesgos (Risk Assesment)
- Controles”
La norma ISO 27001 adopta un proceso enfocado para establecer, implantar, funcionar, seguir, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información de la organización.
La ISO 27001 está establecida por la International Organisation for Standardization (ISO) y es la norma utilizada para la certificación. Reemplaza la BS 7799 y provee de una norma internacional del Sistema de Seguridad de la Información. Basada en la BS 7799, ha sido reorganizada para alinearse con otras normas internacionales. Se han incluido algunos nuevos controles, p. ej. El énfasis en la gestión de incidentes de seguridad de la información y principios OECD.
La norma también se perfila bajo otras normas como ISO/IEC 17799:2005, ISO/IEC 13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR 18044:2004 y “Guía OECD para los sistemas de Seguridad de la Información y Redes – Hacia una cultura de seguridad” que facilita consejos para implantar la seguridad de la información.
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente).
Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo.
Los primeros pasos para la implementación de esta norma son:
- Definir el ámbito y política del SGSI.
- Proceso de análisis y valoración de riesgos (Evaluación de Riesgos).
- Selección, tratamiento e implementación de Controles.
El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO
...