-
IEC
Comisión Electrotécnica Internacional.
Es una organización de normalización en los campos: eléctrico, electrónico y tecnologías relacionadas.
Fundada en 1906, siguiendo una resolución del año 1904 aprobada en el “Congreso Internacional Eléctrico”. Tenía su sede en Londres hasta que en 1948 se trasladó a Ginebra. En 1938, el organismo publicó el primer diccionario internacional (International Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica. -
ISO
Organización Internacional para la Estandarización.
Es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de estandarización.
Fundada el 23 de febrero de 1947, promueve el uso de estándares propietarios, industriales y comerciales a nivel mundial. Su sede está en Ginebra. -
ORIGEN E HISTORIA DE LA ISO 27001
Su origen de la ISO 27001 fue la norma BS 7799-1, publicada en 1995 por British Standards Institution.
Esta norma tuvo una segunda parte, BS 7799-2. En 2000 la ISO tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799. En 2002 se publicó una nueva versión de la BS 7799. En 2005 cuando aparece ya el estándar ISO 27001 y la ISO 17799 se modifica dando lugar a la ISO 27001:2005 publicación formal de la revisión.
Esta norma es conocida en México como NMX-I-041/02-NYCE. -
CONTENIDO DE LA SERIE 27000
Los rangos de numeración reservados por ISO van de:
27000 a 27019
27030 a 27044 con 27799
finalizando la serie formalmente en estos momentos. -
Estándar ISO 27001
Aprobado y publicado como estándar internacional en octubre de 2005 por la ISO-IEC. En el que se especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información mediante la metodología que usa el modelo de cuatro pasos "PDCA". -
ESTRUCTURA DE LA NORMA ISO/IEC 27001
Esta norma se encuentra dividida en dos partes; la primera:
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo y Responsabilidad de la Dirección
6. Planificación
7.-Soporte
8.-Operación
9.-Evaluación de desempeño mediante el modelo PDCA.
10.-Mejora del SGSI Y la segunda esta conformada por:
Anexo A, el cual establece los objetivos de control y los controles de referencia. -
MODELO PDCA
La ISO/IEC 27001 incorpora el típico modelo PDCA que significa "Planificar-Hacer-Controlar-Actuar" se utiliza como ciclo continuo para hacer mejoras al SGSI. Planificar : realiza la evaluación de riesgos de seguridad de la información y la selección de controles adecuados . Hacer: fase que envuelve la implantación y operación de los controles. Controlar:revisa y evalúa el desempeño del SGSI. Actuar : realiza cambios cuando sea necesario para llevar de vuelta el SGSI a su máximo rendimiento. -
SERIE DE NORMAS "27000" ISO-IEC
Publicada en mayo de 2009.
Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. ISO / IEC 27000 es parte de una creciente familia de estándares de los ISMS. Estas normas ofrecen: 1.-Una visión general e introducción a toda la familia ISO / IEC 27000 2.-Un glosario o vocabulario de términos y definiciones fundamentales utilizados en ISO / IEC 27000. -
Sistema de Gestión de la Seguridad de la Información (SGSI)
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información. Teniendo como objetivo el asegurar la confidencialidad, integridad y disponibilidad de la información minimizando a la vez los riesgos de seguridad de la información. -
IMPLANTACIÓN
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance.
El equipo de proyecto de implantación esta formado por: Lider de la dirección
Consultores externos especializados en seguridad informática Derecho de las nuevas tecnologías,
Protección de datos
Sistemas de gestión de seguridad de la información -
PROCESO DE AUDITORIA.
Una vez implantado el SGSI en la organización se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma: Fase 1: se trata del análisis de la documentación por parte del Auditor Jefe destacando los posibles incumplimientos de la norma. Fase 2 : detalle de la auditoría, en la que se revisan las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. -
CERTIFICACIÓN
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.