Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la comisión electrotécnica internacional que se encargan de establecer estándares y guías llevadas a cabo con sistemas de gestión y son aplicables a cualquier tipo de empresa internacional y mundial, con el fin de facilitar el comercio, facilitar el intercambio de información y contribuir a la trasferencia de tecnologías.
La familia ISO 27000
La familia de normas ISO 27000 son un conjunto de estándares de seguridad que proporcionan un marco para gestionar la seguridad.
Es necesario que se establezcan prácticas recomendadas en seguridad de la información para desarrollar, implantar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información utilizable en cualquier tipo de empresa, ya sea pública o privada, grande o pequeña, etc.
La seguridad de la información, según la norma ISO 27001, se basa en la preservación de la confidencialidad, integridad y disponibilidad, además de como los sistemas aplicados para su tratamiento.
- Confidencialidad, la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
- Integridad, el mantenimiento de la exactitud y la complejidad de la información y sus métodos de proceso.
- Disponibilidad, acceso y utilización de la información, además de los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.
La guía ISO 27007
La norma ISO 27007 proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.
La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de Seguridad de la Información.
El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de la Información de la auditoría de cumplimiento:
- Administración del programa de auditoría del Sistema de Gestión de Seguridad de la Información para determinar que se debe auditar, cuando y como, además de asignar los auditores apropiados, administrar todos los riesgos, mantener registros de auditoría, mejorar de forma continua el proceso, etc.
- Realización de una auditoría, con los que se debe realizar una planificación, establecer una conducta, llevar a cabo las actividades clave de auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el seguimiento.
- Gestión de auditores del Sistema de Gestión de Seguridad de la Información, como puede ser competencias, habilidades, atributos y evaluación.
La norma ISO 27007 proporciona una guía para organismos de certificación acreditados
La aplicación de la norma ISO 19011
El cuerpo principal de la norma aconseja sobre la aplicación de la norma ISO 19011 al contexto del Sistema de Gestión de Seguridad de la Información, con unos pocos comentarios explicativos no muy útiles. El anexo establece con más nivel de detalle todas las pruebas de auditoría específicas sobre el cumplimiento de la empresa tomando como referencia a la norma ISO 27001.
Para continuar nos deben proporcionar los productos y servicios que necesitamos, además las organizaciones manejan grandes cantidades de datos. La seguridad de la información es una gran preocupación para los consumidores y las organizaciones se alimentan de una serie de ciberataques de alto perfil.
Los estragos causados por estos ataques se deben a celebridades avergonzadas por fotos descuidadas, la pérdida de registros médicos, rescatar amenazas que ascienden a millones que han afectado incluso a las corporaciones más poderosas.
Cuando los datos contengan suficiente información personal, financiera o médica, las empresas tienen la obligación moral y legal de mantenerla a salvo de los ciberdelicuentes. En este momento entra en juego la familia de normas ISO 27000, éstas ayudan a las empresas a administrar la seguridad de actividad como puede ser la información financiera, propiedad intelectual, los detalles de empleados y la información que les ha sido confiados por terceros.
La norma ISO 27001 es el estándar más conocido de toda la familia, la norma proporciona todos los requisitos para un sistema de gestión de seguridad de la información. Es un estándar internacional en el que una empresa puede certificarse, aunque la certificación siempre es opcional.
Auditores
ISO 27007 “Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de sistemas de gestión de la seguridad de la información” ayuda a las empresas y auditores a preparase a fondo proporcionando una guía clara. Se publicó por primera vez en el año 2011, ahora se ha actualizado a ISO 27007 2017 para que se encuentre alineado con la norma ISO 27001 2013.
Tomado: https://www.pmg-ssi.com
No hay comentarios.:
Publicar un comentario