Normas de seguridad de la información: iso 27001
ISO 27001 es una norma internacional de gran prestigio para la gestión de seguridad de la información que se necesita saber para trabajar en el campo. ISO 27001 utiliza el término sistema de gestión de seguridad de la información (SGSI) para describir los procesos y los registros requeridos para la gestión de seguridad efectiva en organizaciones de cualquier tamaño.
El nombre completo de la norma es Tecnología de la información - Seguridad técnicas- seguridad de la información mamánortesistemas agement - Requisitos. Este complicado nombre se relaciona con las dos secciones principales de la norma.
requisitos
La sección de los requisitos de la norma se describen las características necesarias para una organización para gestionar adecuadamente su SGSI. La sección de los requisitos consiste en lo siguiente:
Contexto de la organización: El alcance pretendido de la norma en una organización
Liderazgo: El compromiso de la dirección ejecutiva para el mantenimiento de una política eficaz ISMS y la seguridad, y establecer formalmente las funciones y responsabilidades relacionadas con la seguridad
Planificación: Las actividades tales como evaluaciones de riesgo y tratamiento de riesgos
Video: Sistema de Seguridad de la Información ISO/IEC 27001 / 17799
Apoyo: Proporcionar los recursos necesarios, la formación y las comunicaciones relacionadas con la seguridad
Información documentada: Las prácticas consistentes relacionados con los documentos y registros relacionados con la seguridad
Operación: La realización de evaluaciones de riesgo y tratamiento de riesgos
Video: Normas ISO 27001 Políticas de seguridad
Evaluación del desempeño: la supervisión de seguridad, auditoría interna y revisión por la dirección
Mejora: La observación de y aprovechar las oportunidades para que los procesos y controles de seguridad mejora con el tiempo.
controles
La sección de controles de la norma ISO 27001 contiene un conjunto de controles estándar de la industria, organizada en las siguientes categorías:
las políticas de seguridad de la información
Organización de la seguridad de la información
la seguridad de los recursos humanos
Gestión de activos
Video: ISO 27001 Y 27002 SEGURIDAD DE INFORMACION UNAJMA EPIS ANDAHUAYLAS APURIMAC PERU
Control de acceso
Criptografía
La seguridad física y ambiental
Video: Webinar ISOTools - Metodología para diseñar e implementar un SGSI basado en ISO 27001. Parte 2
seguridad de las operaciones
seguridad de las comunicaciones
la adquisición de sistemas, desarrollo y mantenimiento
relaciones con los proveedores
gestión de incidentes de seguridad de información
los aspectos de seguridad de información de gestión de la continuidad del negocio
Conformidad
Ser ISO 27001 compatible
Una organización que quiere mejorar su sistema de gestión de seguridad utilizando la norma ISO 27001 como su estándar se sometería a las siguientes actividades:
Análisis de las deficiencias: El primer paso en la consecución de cumplimiento, un análisis de brechas se realiza ya sea por la organización o por un experto externo. Un análisis de vacíos ayuda a la organización entiende que los requisitos y controles que hace y no cumple.
remediación: Para cualquier requisito y los controles con los que la organización no es compatible, puede realizar cambios en su personal (como la formación), procesos y tecnologías para llegar a cumplir.
Auditoría externa: Una organización que necesita para demostrar el cumplimiento a través de una auditoría externa puede contratar a una empresa de evaluación de seguridad competente para llevar a cabo una auditoría con un informe de auditoría detallada y la opinión del cumplimiento.
Certificación y registro: Una organización puede optar por someterse a una auditoría externa de mayor calidad mediante el empleo de una de las organizaciones autorizadas para certificar y registrar una organización como ISO 27001 compatible. La ventaja es que la firma de auditoría se lleva a cabo con un alto nivel en la norma ISO 27001 auditorías. La certificación ISO 27001 es generalmente más costosa que la auditoría anexternal pero puede ser necesario en algunas circunstancias.
Los individuos en una organización pueden recibir formación y obtener un ISO 27001 Auditor Interno proceso de dar un título. Las organizaciones comprometidas con el cumplimiento de la norma ISO 27001 a menudo obtener esta certificación para uno o más de sus empleados, que a través de este entrenamiento ayudará a entender mejor el significado de la Norma ISO 27001 requisitos y controles, así como las técnicas apropiadas para determinar el cumplimiento.
Una copia de un solo usuario de las ISO 27001 costos estándar casi $ 300. Este costo es la única barrera de la prevención de una mayor adopción de este estándar de alta calidad.