Familia de las normas ISO-27000

Hace algún tiempo que me convertí a la fe de las normativas ISO, reconozco que durante mucho tiempo fui bastante escéptico con este tema, en concreto la ISO 27000 es en mi opinión de las más relevantes en temas de tecnología (el caso de la ISO 20000 es un poco especial por la “competencia” con ITIL).

Una de las cosas que me cuesta más seguir es la lista de familias de la norma, en este artículo se hace un desglose de ellas. Como me ha parecido una información interesante aprovecho para hacer un breve resumen:

  • ISO 27001: Norma de requisitos
  • ISO 27002: Código de Práctica para la gestión de la seguridad de la información.
  • ISO 27005: guías sobre la gestión de riesgos.
  • ISO 27004: medición de la eficacia de los SGSI implementados
  • ISO27003: al proceso de planificación e implementación de los procesos del SGSI.
  • ISO 27006: informa sobre cómo los organismos de certificación deben interpretar la ISO 17021-1 en el contexto de auditorias a SGSI, en cumplimiento con la norma ISO 27001.

En desarrollo y que serán publicadas en el año 2011.

  • ISO 27007: auditorias según la norma ISO 27001, alcance y la complejidad, la gestión de riesgos, la selección de controles y la competencia de los auditores de SGSI.
  • ISO 27008: aspectos técnicos de los controles de seguridad definidos en el Anexo A de la  ISO27001.

Normas para sectores específicos

  • ISO 27010: para comunicaciones entre sectores
  • ISO 27011: para organizaciones de telecomunicaciones
  • ISO 27013: integración de la ISO 20000-1 y la ISO 27001 para beneficiarse de los elementos comunes en ambas normas.
  • ISO 27014: marco de gobierno de la seguridad de la información
  • ISO 27015: para el sector financiero y de seguros
Anuncios
A %d blogueros les gusta esto: