La norma ISO/IEC 17799, ahora conocida como ISO/IEC 27002, es un código de prácticas para la gestión de la seguridad de la información. Fue publicado originalmente en diciembre de 2000 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La norma proporciona orientación y recomendaciones para el establecimiento y mantenimiento de un sistema de gestión de la seguridad de la información. No pretende ser una guía prescriptiva o detallada paso a paso.
La norma está estructurada en torno a diez cláusulas principales:
1. Introducción
2. Alcance
3. Referencias normativas Ámbito de aplicación
3. Referencias normativas
4. Términos y definiciones
5. 5. Visión general de la seguridad de la información
6. Principios de la seguridad de la información Principios de la seguridad de la información
7. Sistema de gestión de la seguridad de la información
8. Gestión de la seguridad de la información Gestión de la seguridad de la información
9. Programa de gestión de la seguridad de la información
10. ISO/IEC 17799 fue desarrollado por un equipo de expertos de todo el mundo, que representan una amplia gama de industrias y organizaciones. Se basa en las normas nacionales e internacionales existentes, incluida la serie BS 7799 de la British Standards Institution (BSI).
BSI publicó por primera vez la BS 7799 en 1995. Fue revisada y reeditada como BS 7799-1 en 1999. La BS 7799-2 se publicó en 2002 y proporcionó orientación sobre la aplicación de un sistema de gestión de la seguridad de la información (SGSI) basado en la BS 7799-1.
En junio de 2005, la ISO/IEC 17799 se fusionó con la ISO/IEC 27001 para formar la ISO/IEC 27002.
¿Cuáles son las normas de seguridad informática? Hay muchas normas de seguridad informática diferentes, pero algunas de las más comunes son la ISO 27001, la NIST 800-53 y la CIS CSC. Estas normas proporcionan orientación sobre cómo gestionar eficazmente los riesgos de seguridad y proteger los sistemas de información. Las organizaciones pueden utilizar estas normas para desarrollar sus propios programas de seguridad, o pueden certificarse con ellas para demostrar que cumplen un determinado nivel de seguridad.
¿Qué es un sistema de gestión ISO?
Un sistema de gestión ISO es un sistema formalizado que documenta los procesos, procedimientos y responsabilidades para lograr la conformidad con la norma ISO. Suele incluir un manual, procedimientos, registros y materiales de formación.
El objetivo de un sistema de gestión de ISO es ayudar a una organización a cumplir sus requisitos de ISO y mejorar continuamente su rendimiento. El sistema debe adaptarse al tamaño, la estructura y las actividades empresariales de la organización.
Un sistema de gestión ISO puede utilizarse para gestionar cualquier tipo de actividad relacionada con la ISO, incluyendo la ISO 9001 (gestión de la calidad), la ISO 14001 (gestión medioambiental) y la ISO 27001 (gestión de la seguridad de la información).
¿Qué son las normas de seguridad informática?
Las normas de seguridad informática proporcionan directrices y mejores prácticas para que las organizaciones mejoren su ciberseguridad y protejan sus datos y sistemas. Estas normas incluyen temas como la gestión de riesgos, la autorización y la autenticación, la protección de datos y otras cuestiones importantes. Aunque no son obligatorias, las organizaciones suelen optar por adoptarlas para mejorar su seguridad y proteger los datos y sistemas.
¿Qué es la ISO en palabras sencillas?
En palabras sencillas, ISO es un conjunto de normas que ayuda a las organizaciones a garantizar que sus productos y servicios satisfacen las necesidades de sus clientes. Las normas ISO son desarrolladas por expertos de todo el mundo que se reúnen para compartir sus conocimientos y experiencia.
Las normas ISO abarcan una amplia gama de temas, como la gestión de la calidad, la gestión medioambiental, la seguridad alimentaria y la ciberseguridad. Siguiendo las normas ISO, las organizaciones pueden mostrar a sus clientes que están comprometidas a proporcionar productos y servicios de alta calidad.
La certificación ISO tiene muchas ventajas, como el aumento de la confianza de los clientes, la mejora de la eficiencia y la reducción de costes. La certificación ISO también puede ayudar a las organizaciones a acceder a nuevos mercados y a conseguir nuevos negocios.
¿Cuáles son los 114 controles de la norma ISO 27001?
Hay 114 controles en la norma ISO 27001. Están divididos en 14 categorías, cada una de las cuales aborda un área específica de la seguridad. Las categorías son:
1. Política de seguridad
2. Organización de la seguridad Organización de la seguridad
3. Gestión de activos
4. Seguridad de los recursos humanos
5. Seguridad física y medioambiental Seguridad física y medioambiental
6. Gestión de las comunicaciones y de las operaciones
7. 8. Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de incidentes de seguridad de la información
10. Gestión de la continuidad de la actividad
11. Cumplimiento
12. 12. Aspectos de la seguridad de la información en la gestión de la cadena de suministro Seguridad de los dispositivos móviles
14. Los controles en cada categoría están diseñados para mitigar los riesgos asociados con el área particular de seguridad. Por ejemplo, los controles de la categoría "Gestión de activos" están diseñados para ayudar a las organizaciones a proteger sus activos (por ejemplo, la información, los equipos y las instalaciones) del acceso, uso, divulgación o destrucción no autorizados.