Normas ISO sobre gestión de seguridad de la información
Familia de Normas ISO 27000
Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.
En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento.
- Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
- Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
- Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.
Dentro de este conjunto están:
| Norma | Descripción |
| ISO/IEC 27000 | Vocabulario estándar para el SGSI para todas las normas de la familia.. Se encuentra en desarrollo actualmente. |
| ISO/IEC 27001 | Certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005. |
| ISO/IEC 27002 | Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. |
| ISO/IEC 27003 | Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente. |
| ISO/IEC 27004 | Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español actualmente. |
| ISO/IEC 27005 | Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standar BS 7799 parte 3. Publicada en junio de 2008. |
| ISO/IEC 27006 | Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. |
| ISO/IEC 27007 | Guía para auditar al SGSI. Se encuentra en preparación. |
| ISO/IEC 27799:2008 | Guía para implementar ISO/IEC 27002 en la industria de la salud. |
ISO/IEC 27001
Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.
- Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes.
- Sigue un modelo PDCA (Plan-Do-Check-Act)
- Los puntos claves son: Gestión de riesgos y la Mejora continua.
ISO/IEC 27002
Es un código de buenas prácticas para la gestión de la seguridad.
Consiste en:
- Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización.
- Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendados a implantar, es decir, las medidas a tomar.