Normas ISO 27001-27002 gestión seguridad información
1. UNIVERSIDAD TÉCNICA DEL NORTE
FACAE
NOMBRE: PAOLA ENRÍQUEZ
CURSO: 9no “C1”
FECHA: 23-12-2012
AUDITORÍA INFORMÁTICA.
NORMAS ISO 27001 - 27002(19977).
NORMAS ISO 27001
Gestión de la seguridad de la información
La norma ISO 27001 define cómo organizar la seguridad de la información en
cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña
o grande. Es posible afirmar que esta norma constituye la base para la gestión de
la seguridad de la información.
La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es
para la calidad: es una norma redactada por los mejores especialistas del mundo
en el campo de seguridad de la información y su objetivo es proporcionar una
metodología para la implementación de la seguridad de la información en una
organización. También permite que una organización sea certificada, lo cual
significa que una entidad de certificación independiente ha confirmado que la
seguridad de la información se ha implementado en esa organización de la mejor
forma posible.
2. A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado
esta norma como base para confeccionar las diferentes normativas en el campo
de la protección de datos personales, protección de información confidencial,
protección de sistemas de información, gestión de riesgos operativos en
instituciones financieras, etc.
Este Estándar Internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
sistema de Gestión de Seguridad de la información (SGSI). La adopción del SGSI
de una organización es influenciada por las necesidades y objetivos, requeridos de
seguridad, los procesos empleados y el tamaño y estructura de la organización.
Se espera que estos sistemas promuevan la adopción de un enfoque del proceso,
con el fin de implementar procesos operarlos, monitorearlos, mejorarlos,
mantenerlos y mejorar el SGSI de una organización
Enfatiza en la siguiente importancia
Entender los requerimientos de la seguridad de la información y la
necesidad de establecer políticas y objetivos.
Implementar y operar controles para manejar los riesgos de la seguridad de
la información.
Monitorear y revisar el desempeño y la efectividad del SGSI.
Mejoramiento continuo en base a la medición del objetivo.
3. NORMAS ISO 27002
Esta norma proporciona recomendaciones de las mejores prácticas en la gestión
de la seguridad de la información a todos los interesados y responsables en
iniciar, implantar o mantener sistemas de gestión de la seguridad de la
información. En este se pretende abordar los principales contenidos de la norma
(mostrados de manera gráfica en el siguiente esquema).
Debido que la seguridad es un activo y que como otros activos comerciales
importantes, es esencial para el negocio de una organización y en consecuencia
necesita ser protegido adecuadamente.
Se necesita la seguridad de la información para que las organizaciones puedan
enfrentar amenazas de seguridad de un amplio rango de fuentes
La seguridad de la información es importante tanto para el sector público como
para el privado
Existen tres fuentes importantes para la seguridad estás son:
4. 1. Evaluando los riesgos de la seguridad.- a través de la evaluación metódica
de los riesgos de seguridad, lo que ayudará a guiar y determinara la acción
de la gestión.
2. Selección de controles.- tomara la decisión con el fin de determinar cuáles
son los controles apropiados ya que esta decisión depende de la
organización basada en el criterio de la aceptación del riesgo.
3. Punto de inicio de la seguridad de la información.- se determina los
siguientes controles:
Protección de data y privacidad de l información.
Protección de los registros internacionales
Derechos de propiedad intelectual
Documentos de la política de la seguridad
Asignación de responsabilidades de la seguridad de la información.
Conocimiento educación y capacitación de la información
Procesamiento correcto de las aplicaciones
Gestión de la continuidad comercial
Gestión de los incidentes y mejoras de la seguridad de la
información.
Se debe considerar que los controles para cualquier tipo de organización son
importantes de establecer, debido a que permite resguardar la información
relevante y a la vez permite que se desempeñe de una mejor manera el trabajo sin
problemas y con protección.
BIBLIOGRAFÍA:
Comité Técnico ISO/IEC. (15 de 10 de 2005). Google. Obtenido de Google:
http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
Comité Técnico ISO/IEC. (15 de 06 de 2005). Google. Obtenido de Google:
http://mmujica.files.wordpress.com/2007/07/iso-27002-2005-castellano.pdf