Análisis comparativo ITIL/ISO 27001/OISM3
Enviado por Adela Hg • 23 de Agosto de 2019 • Documentos de Investigación • 4.186 Palabras (17 Páginas) • 1.197 Visitas
[pic 1][pic 2]
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
A c t iv id a d es
Actividad: Análisis comparativo ITIL/ISO 27001/OISM3
Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la norma ISO 27001 y el modelo de madurez OISM3, es necesario entender conceptualmente:
1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».
2. Su audiencia, es decir «a quién están destinadas».
3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o proceso y si son conceptos completamente equivalentes o no.
4. Cómo pueden hacerse correspondencias entre sus diferentes elementos, dependiendo del análisis
realizado en el punto anterior.
Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las correspondencias y diferencias.
TEMA 2 – Actividades
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
CUADRO COMPARATIVO ENTRE ITIL - ISO 27001 - OISM3
ASPECTOS | ISO 27001 | ITIL | OISM3 |
DEFINICIÓN | Es una norma internacional que permite y busca garantizar, así como, asegurar que la existencia de controles sean los adecuados y se encuentren en vigor para abordar la confidencialidad, la integridad y la disponibilidad de los datos, la información y sistemas que los procesan, de las partes involucradas. [1][2] | En una metodología, de alcance global, que permite la gestión de servicios de las tecnologías de la información, la calidad del servicio, el desarrollo eficaz y eficiente de los procesos que se llevan a cabo en cada actividad del SGSI. Su significado se traduce como Biblioteca de Infraestructura de la Tecnología de la Información (ITIL- Information Technology Infrastructure Library). [12][13] | Es el único método estándar que introduce el uso de la mejora continua de ciclo corto en la administración de la seguridad de la información, con la finalidad de garantizar la consecución de los objetivos de negocio. Además, se considera como un modelo de madurez, el cual consiste en un conjunto estructurado de elementos que describen los niveles de madurez mediante un orden claro y absoluto, y de manera explícita enmarca la evolución de la organización en este sentido. [18] [19] [20] Su significado es Open Information Security Management Maturity Model (O- ISM3). |
ORIGEN | Originalmente introducida por el DTI (Department of Trade and Industry) en UK como la norma BS 7799 en 1995, en donde se establecía el código de mejores prácticas para la administración de la seguridad de la información. Sin embargo, fue hasta el año 2005, que se creó la | Creada en los años 80´s por el gobierno de Inglaterra, con la finalidad de establecer los conocimientos respecto a la gestión de los sistemas de TI, es decir, la creación de una biblioteca que combina las mejores prácticas y estándares, incluyendo libros y otros recursos empleados por las | Publicado por The Open Group, líder en el desarrollo de estándares y certificaciones de TI abiertas, independientes del proveedor. La motivación que dio otigen a este estándar fue la reducción de la brecha entre la teoría y la práctica de los sistemas de gestión de seguridad de la información, |
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
familia ISO-27001, que se emplean para la certificación del SGSI en las organizaciones. [4][9][1] | organizaciones. [12] | así como de la vinculación de la administración de seguridad con los modelos de madurez. [18] [22] | |
CARACTERÍSTICAS | Brinda un modelo que permite crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) y su auditoría. [9][5][6] Posee un enfoque sistemático para gestionar y proteger la información y/o activos importantes. [5] Existe un manejo de las medidas de seguridad a través de procesos de seguridad y estableciendo la conexión entre las responsabilidades. [5] Se caracteriza por poseer, definir y aplicar cada uno de los controles y el conjunto de reglas de seguridad de la información, con la finalidad de mitigar o eliminar el riesgo, previa evaluación de éste. [3][5] Se fundamenta en el ciclo PDCA | Se enfoca en el desarrollo, administración y operación de la gestión de servicios de TI de manera eficiente, y para alcanzar los objetivos estratégicos. [12] Se encuentra vinculada con la gobernalidad de las TI, a través de la determinación de jerarquías de acceso, toma de decisiones y responsabilidades, satisfaciendo en mayor medida a los usuarios y clientes, para alcanzar los objetivos de la organización. [12] Su objetivo es crear un sistema de clase mundial que sirva de guía para el desarrollo de procesos en las organizaciones. [12] Propone la gestión de los Sistemas de Información, a través de 10 procesos, | Considera la métrica de Seguridad de la información, que permite la gestión de los aspectos a mejorar. [19] Contempla 5 niveles de madurez. [19] Relaciona los objetivos de negocio (entrega, tiempos, calidad, etc.) con los de seguridad (confidencialidad, integridad y disponibilidad). Esto es, que relaciona la entrega de los productos a tiempo con el acceso a las BD, sólo a usuarios autorizados. [19] Pretende alcanzar cierto nivel de seguridad (riesgo aceptable), en lugar de buscar vulnerabilidades. [19] Permite el autoanálisis (madurez y capacidad), la evaluación comparativa entre lo sectorial y nacional- internacional-local, la identificación de las oportunidades de mejora- |
...