ISO 27000 & ISO 38500

SERIE 27000

Para cualquier ámbito de desarrollo en empresas, organizaciones en el mercado es muy importante su información ya que es aquel activo que fundamenta su éxito y continuidad en el mismo mercado, el aseguramiento de la información y de los sistemas que la procesas pasa a un primer nivel de importancia para el organismo en que se tratan.

ISO/IEC 27000 llega como herramienta efectiva para la gestión de la seguridad de la información, ISO/IEC 27000 realiza estas tareas de forma metódica, documentada y toma como base objetivos claros de seguridad y una evaluación de los riesgos a los que está sujeta la información de la organización.

Dentro de la norma se ubican diversos estándares desarrollados de igual manera por ISO lo cual fortalece aún más las áreas comprendidas para su gestión tanto para empresas públicas o privadas, grandes y pequeñas.

Dicha norma fue creada desde el siglo pasado con otros nombres y no fue sino hasta 2005 cuando se publica bajo el nombre ISO 27000.

De ella se desprenden otras extensiones de la norma 27001 (Serie 27000), en ella los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

La serie está conformada por las siguientes:

ISO 27001: Publicada el 15 de Octubre de 2005, ésta es la norma principal de la serie y contiene requisitos del sistema de gestión de seguridad de la información.

ISO 27002: Publicada el 1 de julio de 2007, describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

ISO 27003: Mayo 2009, consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

ISO 27004: Noviembre 2008, especifica las métricas y las técnicas de media aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

ISO 27005: Junio 2008, Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

ISO 27006: Febrero 2007, especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad para la información.

ISO 27007: Mayo 2010, consiste en una guía de auditoría de un SGSI.

ISO 27011: 2008, consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU.

ISO 27031: Mayo 2010, es una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: Febrero 2009, consiste en una guía relativa a la ciberseguridad.

ISO 27033: 2011, consiste en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.

ISO 27034: Febrero 2009, guía de seguridad de aplicaciones.

ISO 27799: Junio 2008, es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799.

ISO 38500

Esta norma fue publicada en junio de 2008, basándola en AS8015:2005, va orientada al Gobierno de TI, ésta proporciona un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de información.

Se encuentra alineada con los principios de gobierno corporativo del “Informe Cadbury” y en los “Principios de Gobierno

...