A.ORIGEN Y ACTUALIZACIONES
Publicada el 15 de Octubre de 2005.
Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la
información.
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada)
y es la norma con arreglo a la cual se certifican por auditores
externos los SGSIs de las organizaciones.
En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la
ISO 27002:2005, para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI(Sistema de Gestio de Seguridad Informatica); a pesar de no ser obligatoria la implementación
de todos los controles enumerados en dicho anexo, la organización
deberá argumentar sólidamente la no aplicabilidad de los controles no
implementados.
Desde el 28 de Noviembre de 2007, esta norma está
publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse
online en AENOR (también en lengua gallega).
B.CARACTERISTICAS DE LA NORMA
Tiene que ver con:
- Activos(Norma ISO/IEC 133335:2004).cualquier cosa que tenga valor para la org.
- Disponibilidad (ISO/IEC 133335-1:2004).la propiedad de estar disponible y utilizable cuando lo reequiera una entidad autorizada
- Confidencialidad (ISO/IEC 13335-1:2004). la propiedad que esa informacion este disponible y no sea divulgada a personas, entidades o procesos no-autorizados
- Seguridad de Informacion(ISO/IEC 17799:2005)preservacion de la confidencialidad,integridad y disponiblidad de la informacion: ademas, tambien pueden estar involucradas otras porpiedades como la autenticidad, responsabilidad, no-repudio y confibialidad
- Evento de Seguridad de informacion((ISO TR 18044:2004)Una ocurrencia identificada del estado de un sistema de servico de red indicando una posible violacion de la politica de seguridad de la informacion o falla en las salvaguardas, o una situacion previamente desconocida quie puede ser relevante para la seguridad.
- Incidente de seguridad de la informacion(ISO TR 18044:2004)
- Inciddente de seguridad de la informacion (ISO TR 18044:2004)
- Sistema de gestion de seguridad de la informacion SGSI
- Integridad(ISO/IEC 13335-1:2004)
- Riesgo residual(ISO/IEC guia 73:2002)
- Aceptacion de riesgo(ISO/IEC 73:2002)
- Valuacion del riesgo(ISO/IEC Guia:2002)
- Gestion de riesgo(ISO/IEC Guia:2002)
- Tratamiento del riesgo(ISO/IEC Guia:2002)
- Enunciando de aplicabilidad
C.CAMPO DE APLICACION(EN DONDE SE PUEDE APLICAR)
En cualquier campo organizacional ,sin importar su tipo, tamaño y naturaleza.
Si la empresa ya cuenra con un sistema de gestion de procesos comerciales operativos(por ejemplo , en relacion con iso 9001 o ISO 14001), en la mayoria de los casos es preferible satisfacer los requerimientos de este Estandar Internacional dentro de este sistema de gestión existente.
D.REFERENCIAS(EJEMPLO)
Este tipo de Estándar o norma la podemos aplicar en alguna empresa que maneje alguna base de datos por mas pequeña que esta sea, es por ello que se menciona que no importa tamaño,giro y naturaleza de la misma organización.
un ejemplo claro de ello podría ser aplicado a la empresa mayormente conocida como Coca-Cola.
Esta empresa es reconocida a nivel mundial y por ende sus bases de datos tienen que cubrir con este estándar ya que es tanta la informacion que ellas manejan por ser una empresa muy internacional.
un ejemplo claro de ello podría ser aplicado a la empresa mayormente conocida como Coca-Cola.
Esta empresa es reconocida a nivel mundial y por ende sus bases de datos tienen que cubrir con este estándar ya que es tanta la informacion que ellas manejan por ser una empresa muy internacional.
FUENTE:
http://www.iso27000.es/iso27000.html#section3b
***http://www.wepapers.com/Papers/137736/Norma_ISO/IEC_27001-2005_Spanish
***http://www.wepapers.com/Papers/137736/Norma_ISO/IEC_27001-2005_Spanish
No hay comentarios:
Publicar un comentario