ISO / IEC 27004 Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Medición. Es parte de una familia de estándares del sistema de gestión de seguridad de la información (SGSI), que es un enfoque sistemático para proteger la información confidencial, [1] de ISO / IEC. Proporciona estándares para un enfoque sólido para administrar la seguridad de la información ( infosec ) y desarrollar la resiliencia. [2] Fue publicado el 7 de diciembre de 2009 y revisado en diciembre de 2016. Actualmente no es certificable y no está traducido al español.
Este estándar aparece en la serie ISO / IEC 27000 (se puede encontrar más información en ISO / IEC 27000 ). La norma ISO / IEC 27004 proporciona pautas destinadas a ayudar a las organizaciones a evaluar el desempeño de la seguridad de la información y la eficiencia de un sistema de gestión para cumplir con los requisitos de la ISO / IEC 27001 . [3]
¿Qué establece la norma?
Esta norma establece: [4]
- Monitoreo y medición del desempeño en seguridad de la información.
- Monitorear y medir la efectividad de un Sistema de Gestión de Seguridad de la Información (SGSI), incluidos los procesos y controles.
- Análisis y evaluación de resultados de seguimiento y medición.
Este estándar es aplicable a todo tipo de organizaciones independientemente de su tamaño.
Términos y estructura
Los términos y definiciones dados en esta norma se definen dentro de la norma ISO / IEC 27000 . La norma ISO / IEC 27004 está estructurada de la siguiente manera: [5]
- Base lógica
- Características: esta sección define, entre otras cosas, qué monitorear, quién y qué medir, cuándo monitorearlo, medirlo y evaluarlo.
- Tipos de medidas: esta sección describe los dos tipos principales de medidas: rendimiento y eficacia.
- Procesos: esta sección define los tipos de procesos a seguir.
Además de eso, tiene 3 anexos (A, B, C):
- Anexo A: describe un modelo de medición de seguridad de la información que incluye la relación de los componentes del modelo de medición y los requisitos de ISO / IEC 27001.
- Anexo B: proporciona una amplia gama de ejemplos que se utilizan como guía.
- Anexo C: proporciona un ejemplo más completo.
Referencias
- ^ "BS EN ISO / IEC 27001 Gestión de seguridad de la información - Definición precisa de SGSI" . www.iso.org . Consultado el 7 de abril de 2020 .
- ^ "BS EN ISO / IEC 27001 Gestión de la seguridad de la información - Más sobre SGSI en ISO / IEC 27001" . www.bsigroup.com . Consultado el 3 de abril de 2020 .
- ^ "BS EN ISO / IEC 27004: 2016 - ¿Qué es ISO 27004?" . www.iso.org . Consultado el 3 de abril de 2020 .
- ^ "BS EN ISO / IEC 27004 Gestión de la seguridad de la información: ¿Qué establece la norma ISO / IEC 27004?" . webstore.iec.ch . Consultado el 7 de abril de 2020 .
- ^ "BS EN ISO / IEC 27004: 2016 - Vista previa de contenidos de ISO / IEC 27004: 2016" . www.iso.org . Consultado el 3 de abril de 2020 .