Iso 27001
Enviado por Thalisa • 26 de Enero de 2015 • 3.358 Palabras (14 Páginas) • 744 Visitas
NORMA ISO27001:2005
Un SGSI es un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo seguro. Incluye personas, procesos y sistemas de TI mediante la aplicación de un proceso de gestión de riesgos.
Puede ayudar a las pequeñas, medianas y grandes empresas de cualquier sector, mantener los activos de información segura.
ISO / IEC 27001: 2005 , que forma parte de la creciente ISO / IEC 27000 familia de normas , era un sistema de gestión de seguridad de la información (SGSI) norma publicada en octubre de 2005 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) . Su nombre completo es la norma ISO / IEC 27001: 2005 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos . Fue reemplazado, en 2013, por la norma ISO / IEC 27001: 2013 .
ISO / IEC 27001 especifica formalmente un sistema de gestión que tiene la intención de traer seguridad de la información bajo el control de gestión explícito. Al ser una especificación formal significa que en ella se prevén requisitos específicos. Las organizaciones que afirman haber adoptado, por tanto, la norma ISO / IEC 27001 puede ser auditado y certificado conforme a la norma (más abajo) formalmente.
La mayoría de las organizaciones tienen una serie de información de los controles de seguridad . Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), controles tienden a ser un poco desorganizado y desarticulada, después de haber puesto en práctica a menudo como soluciones puntuales a situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en la operación suelen abordar ciertos aspectos de TI o deseguridad de los datos específicamente; dejando los activos de información no son de TI (como trámites y conocimiento de su propiedad) menos protegidas en su conjunto. Además planificación de la continuidad del negocio y la seguridad física pueden ser gestionados independientemente de TI o la información de seguridad, mientras que las prácticas de recursos humanos pueden hacer poca referencia a la necesidad de definir y asignar funciones de seguridad de la información y las responsabilidades en toda la organización.
ISO / IEC 27001 requiere que la gerencia:
• Sistemáticamente examinar los riesgos de seguridad de información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;
• Diseñar e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y / u otras formas de tratamiento de riesgos (como la cobertura de riesgos o la transferencia del riesgo) para hacer frente a esos riesgos que se consideran inaceptables; y
• Adoptar un proceso de gestión global para asegurar que los controles de seguridad de la información continúan cumpliendo con las necesidades de seguridad de la información de la organización de manera permanente.
Controles de seguridad técnicas, como antivirus y firewalls normalmente no se auditan en la norma ISO / IEC 27001 auditorías de certificación: la organización está esencialmente presume haber adoptado todos los controles de seguridad de la información necesaria, ya que el SGSI en general está en su lugar y se considera adecuada cuando cumpla con las exigencias de la norma ISO / IEC 27001.
La Administración determina el alcance del SGSI a efectos de certificación y puede limitarlo a, por ejemplo, una unidad de negocio único o ubicación. El 27001 certificado ISO / IEC no significa necesariamente que el resto de la organización, fuera de la zona de ámbito, tiene un enfoque adecuado para la gestión de seguridad de la información.
Otras normas en el 27000 de la familia de normas ISO / IEC proporcionan orientación adicional sobre determinados aspectos de diseño, implementación y operación de un SGSI, por ejemplo en la información sobre la gestión de riesgos de seguridad ( ISO / IEC 27005 ).
Un SGSI puede ser certificado conforme a la norma ISO / IEC 27001 por un número de registradores acreditados de todo el mundo. Certificación contra cualquiera de las variantes nacionales reconocidas de la norma ISO / IEC 27001 (por ejemplo, JIS Q 27001, la versión japonesa) por un organismo de certificación acreditado es funcionalmente equivalente a la certificación según la norma ISO / IEC 27001 en sí.
En algunos países, los organismos que verifican la conformidad de los sistemas de gestión a las normas especificadas son llamados "organismos de certificación", mientras que en otros se les conoce comúnmente como "órganos de registro", "organismos de evaluación y registro", "organismos de certificación / registro", y algunas veces "registradores".
La certificación ISO / IEC 27001, [ 3 ] al igual que otras certificaciones de sistemas de gestión ISO, por lo general implica un proceso de auditoría externa de tres etapas definidas por la norma ISO / IEC 17021 [ 4 ] y la ISO / IEC 27006 [ 5 ] normas:
• Etapa 1 es un examen preliminar, informal del SGSI, por ejemplo la comprobación de la existencia e integridad de la documentación clave como la política de seguridad de la información de la organización, Declaración de aplicabilidad (SOA) y Plan de Tratamiento de Riesgos (RTP). Esta etapa sirve para familiarizar a los auditores con la organización y viceversa.
• Etapa 2 es una más detallada y formal de cumplimiento de auditoría , poniendo a prueba independientemente del SGSI en contra de los requisitos especificados en la norma ISO / IEC 27001. Los auditores buscarán pruebas para confirmar que el sistema de gestión se ha diseñado e implementado correctamente, y es, de hecho, en la operación ( por ejemplo mediante la confirmación de que un comité de seguridad u organismo similar de administración se reúne regularmente para supervisar el SGSI). Certificación de las auditorías se realizan normalmente por la norma ISO / IEC 27001 Cuentas de plomo. La superación de esta etapa de los resultados en el SGSI siendo certificadas conforme a la norma ISO / IEC 27001.
• En curso implica el seguimiento de las revisiones o auditorías para confirmar que la organización siga cumpliendo con la norma. La certificación requiere mantenimiento periódico reevaluación auditorías para confirmar que el SGSI sigue funcionando como se especifica y previsto. Estos deben ocurrir al menos anualmente, pero (por convenio con la administración) se llevan a cabo a menudo con más frecuencia, sobre todo mientras el SGSI todavía está madurando.
Gestión de activos.
El registro de activos documenta los activos de la empresa o ámbito
...