Normas de seguridad de la información: iso 27001

ISO 27001 es una norma internacional de gran prestigio para la gestión de seguridad de la información que se necesita saber para trabajar en el campo. ISO 27001 utiliza el término sistema de gestión de seguridad de la información (SGSI) para describir los procesos y los registros requeridos para la gestión de seguridad efectiva en organizaciones de cualquier tamaño.

El nombre completo de la norma es Tecnología de la información - Seguridad técnicas- seguridad de la información mamánortesistemas agement - Requisitos. Este complicado nombre se relaciona con las dos secciones principales de la norma.

requisitos

La sección de los requisitos de la norma se describen las características necesarias para una organización para gestionar adecuadamente su SGSI. La sección de los requisitos consiste en lo siguiente:

  • Contexto de la organización: El alcance pretendido de la norma en una organización

  • Liderazgo: El compromiso de la dirección ejecutiva para el mantenimiento de una política eficaz ISMS y la seguridad, y establecer formalmente las funciones y responsabilidades relacionadas con la seguridad

  • Planificación: Las actividades tales como evaluaciones de riesgo y tratamiento de riesgos

    Video: Sistema de Seguridad de la Información ISO/IEC 27001 / 17799

  • Apoyo: Proporcionar los recursos necesarios, la formación y las comunicaciones relacionadas con la seguridad

  • Información documentada: Las prácticas consistentes relacionados con los documentos y registros relacionados con la seguridad

  • Operación: La realización de evaluaciones de riesgo y tratamiento de riesgos

    Video: Normas ISO 27001 Políticas de seguridad

  • Evaluación del desempeño: la supervisión de seguridad, auditoría interna y revisión por la dirección

  • Mejora: La observación de y aprovechar las oportunidades para que los procesos y controles de seguridad mejora con el tiempo.

controles

La sección de controles de la norma ISO 27001 contiene un conjunto de controles estándar de la industria, organizada en las siguientes categorías:

las políticas de seguridad de la información

  • Organización de la seguridad de la información

  • la seguridad de los recursos humanos

  • Gestión de activos

    Video: ISO 27001 Y 27002 SEGURIDAD DE INFORMACION UNAJMA EPIS ANDAHUAYLAS APURIMAC PERU

  • Control de acceso

  • Criptografía

  • La seguridad física y ambiental

    Video: Webinar ISOTools - Metodología para diseñar e implementar un SGSI basado en ISO 27001. Parte 2

  • seguridad de las operaciones

  • seguridad de las comunicaciones

  • la adquisición de sistemas, desarrollo y mantenimiento

  • relaciones con los proveedores

  • gestión de incidentes de seguridad de información

  • los aspectos de seguridad de información de gestión de la continuidad del negocio

  • Conformidad

    • Ser ISO 27001 compatible

    Una organización que quiere mejorar su sistema de gestión de seguridad utilizando la norma ISO 27001 como su estándar se sometería a las siguientes actividades:

    • Análisis de las deficiencias: El primer paso en la consecución de cumplimiento, un análisis de brechas se realiza ya sea por la organización o por un experto externo. Un análisis de vacíos ayuda a la organización entiende que los requisitos y controles que hace y no cumple.

    • remediación: Para cualquier requisito y los controles con los que la organización no es compatible, puede realizar cambios en su personal (como la formación), procesos y tecnologías para llegar a cumplir.

    • Auditoría externa: Una organización que necesita para demostrar el cumplimiento a través de una auditoría externa puede contratar a una empresa de evaluación de seguridad competente para llevar a cabo una auditoría con un informe de auditoría detallada y la opinión del cumplimiento.

    • Certificación y registro: Una organización puede optar por someterse a una auditoría externa de mayor calidad mediante el empleo de una de las organizaciones autorizadas para certificar y registrar una organización como ISO 27001 compatible. La ventaja es que la firma de auditoría se lleva a cabo con un alto nivel en la norma ISO 27001 auditorías. La certificación ISO 27001 es generalmente más costosa que la auditoría anexternal pero puede ser necesario en algunas circunstancias.

    Los individuos en una organización pueden recibir formación y obtener un ISO 27001 Auditor Interno proceso de dar un título. Las organizaciones comprometidas con el cumplimiento de la norma ISO 27001 a menudo obtener esta certificación para uno o más de sus empleados, que a través de este entrenamiento ayudará a entender mejor el significado de la Norma ISO 27001 requisitos y controles, así como las técnicas apropiadas para determinar el cumplimiento.

    Una copia de un solo usuario de las ISO 27001 costos estándar casi $ 300. Este costo es la única barrera de la prevención de una mayor adopción de este estándar de alta calidad.

    Artículos Relacionados
    Puestos de trabajo de seguridad de la información: legal, reglamentos, las investigaciones y el cumplimiento
    Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo
    Empleos seguridad de la información: consejo estándar de seguridad pci
    Seguridad de la información cumplimiento de la normativa y la privacidad: fisma
    Seguridad de la información cumplimiento de la normativa y la privacidad: hipaa, hitech, y sarbanes-oxley
    Normas de seguridad de la información: cobit y nist 800-53
    Funciones de los puestos superiores en la gestión de seguridad de la información
    Lo que hay que saber acerca de cloud security alliance (csa) para un trabajo en seguridad de la información
    Cómo obtener la certificación iso para demostrar los estándares de control de calidad
    Linux: 2 partes de auditorías de seguridad informática
    Linux: auditorías de seguridad informática
    Desarrollar e implementar políticas, normas de seguridad, procedimientos y directrices documentadas
    Asegurar la retención adecuada de los datos para la seguridad
    Integrar las consideraciones de riesgos de seguridad en la estrategia y la práctica de adquisición
    Acerca de (isc) 2 y la certificación cissp
    Certificaciones no técnicos / no-proveedor de seguridad
    Marcos de control de seguridad
    Cómo los atacantes maliciosos engendrar hackers éticos
    ¿Cómo establecer objetivos para un plan de hacking ético
    ¿Cuál es hacking ético?