1. De todas las normas publicadas de seguridad de la
información dos de ellas constituyen las bases de
Son las ISO 27002 (anteriormente ISO 17779 y
todo el conjunto.
está a su vez deriva de la BS 7799-1) y la ISO
27001 (que evolucionó a partir de la BS 7799-2)
El proceso de implementación de la ISO
27001 comienza con la determinación del
Alcance del proyecto.
A su vez, la norma ISO 17799:2000
sufrió modificaciones,
teniendo ahora una nueva versión,
la ISO 17799:2005 compuesta por:
NORMAS ISO
a) Security Policy;
b) Organizing Information Security;
c) Asset Management;
d) Human Resources Security;
e) Physical and Environmental Security;
f) Communications and Operations
Management;
g) Access Control;
h) Information Systems Acquisition,
Development and Maintenance;
i) Information Security Incident Management;
j) Business Continuity Management;
k) Compliance.
2. Auditoría de la gestión Define el vocabulario
de la Seguridad técnico específico
de la Información de
los controles implementados
Específica las métricas y
las técnicas de medida
aplicables para determinar
la eficacia de un SGSI
Extensión a la ISO 27002 en y de los controles
cuanto a la seguridad de redes IT relacionados
Gestión de riesgos de
seguridad de la información
Gestión de incidentes basada en
la ISO 18044
Guía para implementar ISO 27002
específica para entornos médicos
3. Se entiende a todas las
funcionalidades de
una organización
Define 133 controles
generales de seguridad
a partir de 39 objetivos
ISO 27002 de control estructurados
en 11 áreas, 3 técnicas,
7 de gestión y
1 de seguridad física