La serie ISO / IEC 27000 (también conocida como 'Familia de normas ISMS' o 'ISO27K' para abreviar) comprende normas de seguridad de la información publicadas conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). [1]
La serie proporciona recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información, la gestión de los riesgos de la información a través de controles de seguridad de la información, dentro del contexto de un sistema de gestión de seguridad de la información (SGSI) general, similar en diseño a los sistemas de gestión para el aseguramiento de la calidad (la serie ISO 9000). , protección del medio ambiente (la serie ISO 14000) y otros sistemas de gestión. [2] [3]
La serie tiene un alcance deliberadamente amplio, y cubre más que solo la privacidad, la confidencialidad y las cuestiones de TI / técnicas / ciberseguridad. Es aplicable a organizaciones de todas las formas y tamaños. Se alienta a todas las organizaciones a evaluar sus riesgos de información y luego tratarlos (generalmente utilizando controles de seguridad de la información) de acuerdo con sus necesidades, utilizando la orientación y las sugerencias cuando sea relevante. Dada la naturaleza dinámica del riesgo y la seguridad de la información, el concepto de SGSI incorpora retroalimentación continua y actividades de mejora para responder a los cambios en las amenazas, vulnerabilidades o impactos de los incidentes.
Los estándares son el producto de ISO / IEC JTC1 (Comité Técnico Conjunto 1) SC27 (Subcomité 27) , un organismo internacional que se reúne en persona dos veces al año.
Los estándares ISO / IEC son vendidos directamente por ISO, principalmente en inglés, francés y chino. Los puntos de venta asociados con varios organismos nacionales de normalización también venden versiones traducidas directamente en otros idiomas.
Historia temprana
Muchas personas y organizaciones están involucradas en el desarrollo y mantenimiento de los estándares ISO27K. El primer estándar de esta serie fue ISO / IEC 17799: 2000; Este fue un seguimiento rápido de la norma británica existente BS 7799 parte 1: 1999 [4] El lanzamiento inicial de BS 7799 se basó, en parte, en un manual de políticas de seguridad de la información desarrollado por Royal Dutch / Shell Group a fines de la década de 1980 y principios de la década de 1990. En 1993, lo que entonces era el Departamento de Comercio e Industria (Reino Unido) convocó a un equipo para revisar la práctica existente en seguridad de la información, con el objetivo de producir un documento de estándares. En 1995, BSI Group publicó la primera versión de BS 7799 . [5] Uno de los principales autores de BS 7799 recuerda que, a principios de 1993, "El DTI decidió reunir rápidamente un grupo de representantes de la industria de siete sectores diferentes: Shell ([David Lacey] y Les Riley), BOC Group (Neil Twist), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) y Unilever (Rolf Moulton) ". [6] David Lacey le da crédito a Donn B. Parker por tener la "idea original de establecer un conjunto de controles de seguridad de la información", y por producir un documento que contiene una "colección de alrededor de cien controles de referencia" a finales de la década de 1980 para "la I -4 Círculo de Seguridad de la Información [7] que él concibió y fundó.
Estándares publicados
Las normas ISO27K publicadas relacionadas con "tecnología de la información - técnicas de seguridad" son:
- ISO / IEC 27000 - Sistemas de gestión de seguridad de la información - Descripción general y vocabulario [8]
- ISO / IEC 27001 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos. La versión de 2013 de la norma especifica un sistema de gestión de seguridad de la información de la misma manera formalizada, estructurada y sucinta que otras normas ISO especifican otros tipos de sistemas de gestión.
- ISO / IEC 27002 - Código de prácticas para controles de seguridad de la información - esencialmente un catálogo detallado de controles de seguridad de la información que pueden gestionarse a través del SGSI.
- ISO / IEC 27003 - Guía de implementación del sistema de gestión de seguridad de la información
- ISO / IEC 27004 - Gestión de la seguridad de la información - Seguimiento, medición, análisis y evaluación [9]
- ISO / IEC 27005 - Gestión de riesgos de seguridad de la información [10]
- ISO / IEC 27006 - Requisitos para los organismos que realizan auditorías y certificaciones de sistemas de gestión de seguridad de la información.
- ISO / IEC 27007 - Directrices para la auditoría de sistemas de gestión de seguridad de la información (centrada en la auditoría del sistema de gestión)
- ISO / IEC TR 27008 - Guía para auditores sobre controles de SGSI (enfocada en auditar los controles de seguridad de la información)
- ISO / IEC 27009 - Esencialmente un documento interno para el comité que desarrolla variantes específicas del sector / industria o pautas de implementación para las normas ISO27K.
- ISO / IEC 27010 - Gestión de la seguridad de la información para comunicaciones intersectoriales e interorganizacionales
- ISO / IEC 27011 - Directrices de gestión de seguridad de la información para organizaciones de telecomunicaciones basadas en ISO / IEC 27002
- ISO / IEC 27013 - Directriz sobre la implementación integrada de ISO / IEC 27001 e ISO / IEC 20000-1 (derivada de ITIL)
- ISO / IEC 27014 - Gobernanza de la seguridad de la información. [11] Mahncke evaluó esta norma en el contexto de la salud electrónica australiana. [12]
- ISO / IEC TR 27015 - Directrices de gestión de seguridad de la información para servicios financieros - Ahora retirado [13]
- ISO / IEC TR 27016 - economía de la seguridad de la información
- ISO / IEC 27017 - Código de prácticas para controles de seguridad de la información basado en ISO / IEC 27002 para servicios en la nube
- ISO / IEC 27018 - Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII
- ISO / IEC 27019 - Seguridad de la información para el control de procesos en la industria energética
- ISO / IEC 27021 - Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información
- ISO / IEC TS 27022 - Orientación sobre los procesos del sistema de gestión de la seguridad de la información - En desarrollo [14]
- ISO / IEC TR 27023: mapeo de las ediciones revisadas de ISO / IEC 27001 e ISO / IEC 27002
- ISO / IEC 27031 - Directrices para la preparación de la tecnología de la información y las comunicaciones para la continuidad del negocio
- ISO / IEC 27032 - Directriz para la ciberseguridad
- ISO / IEC 27033 - seguridad de la red de TI
- ISO / IEC 27033-1 - Seguridad de la red - Parte 1: Descripción general y conceptos
- ISO / IEC 27033-2 - Seguridad de la red - Parte 2: Directrices para el diseño e implementación de la seguridad de la red
- ISO / IEC 27033-3 - Seguridad de la red - Parte 3: Escenarios de redes de referencia - Amenazas, técnicas de diseño y problemas de control
- ISO / IEC 27033-4 - Seguridad de la red - Parte 4: Protección de las comunicaciones entre redes mediante pasarelas de seguridad
- ISO / IEC 27033-5 - Seguridad de la red - Parte 5: Asegurar las comunicaciones a través de las redes mediante redes privadas virtuales (VPN)
- ISO / IEC 27033-6 - Seguridad de la red - Parte 6: Asegurar el acceso a la red IP inalámbrica
- ISO / IEC 27034-1 - Seguridad de la aplicación - Parte 1: Directriz para la seguridad de la aplicación
- ISO / IEC 27034-2 - Seguridad de aplicaciones - Parte 2: Marco normativo de la organización
- ISO / IEC 27034-3 - Seguridad de la aplicación - Parte 3: Proceso de gestión de la seguridad de la aplicación
- ISO / IEC 27034-4 - Seguridad de la aplicación - Parte 4: Validación y verificación - En desarrollo [15]
- ISO / IEC 27034-5 - Seguridad de aplicaciones - Parte 5: Protocolos y estructura de datos de controles de seguridad de aplicaciones
- ISO / IEC 27034-5-1 - Seguridad de aplicaciones - Parte 5-1: Protocolos y estructura de datos de controles de seguridad de aplicaciones, esquemas XML
- ISO / IEC 27034-6 - Seguridad de aplicaciones - Parte 6: Estudios de casos
- ISO / IEC 27034-7 - Seguridad de la aplicación - Parte 7: Marco de predicción de garantía
- ISO / IEC 27035-1 - Gestión de incidentes de seguridad de la información - Parte 1: Principios de gestión de incidentes
- ISO / IEC 27035-2 - Gestión de incidentes de seguridad de la información - Parte 2: Directrices para planificar y prepararse para la respuesta a incidentes
- ISO / IEC 27035-3 - Gestión de incidentes de seguridad de la información - Parte 3: Directrices para operaciones de respuesta a incidentes de TIC
- ISO / IEC 27035-4 - Gestión de incidentes de seguridad de la información - Parte 4: Coordinación - En desarrollo [16]
- ISO / IEC 27036-1 - Seguridad de la información para las relaciones con proveedores - Parte 1: Descripción general y conceptos
- ISO / IEC 27036-2 - Seguridad de la información para las relaciones con proveedores - Parte 2: Requisitos
- ISO / IEC 27036-3 - Seguridad de la información para las relaciones con los proveedores - Parte 3: Directrices para la seguridad de la cadena de suministro de tecnología de la información y las comunicaciones
- ISO / IEC 27036-4 - Seguridad de la información para las relaciones con los proveedores - Parte 4: Directrices para la seguridad de los servicios en la nube
- ISO / IEC 27037 - Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital
- ISO / IEC 27038 - Especificación para la redacción digital de documentos digitales
- ISO / IEC 27039 - Prevención de intrusiones
- ISO / IEC 27040 - Seguridad del almacenamiento [17]
- ISO / IEC 27041 - Garantía de investigación
- ISO / IEC 27042 - Análisis de evidencia digital
- ISO / IEC 27043 - Investigación de incidentes
- ISO / IEC 27050-1 - Descubrimiento electrónico - Parte 1: Descripción general y conceptos
- ISO / IEC 27050-2 - Descubrimiento electrónico - Parte 2: Orientación para la gobernanza y la gestión del descubrimiento electrónico
- ISO / IEC 27050-3 - Descubrimiento electrónico - Parte 3: Código de prácticas para el descubrimiento electrónico
- ISO / IEC TS 27110 - Tecnología de la información, ciberseguridad y protección de la privacidad - Directrices para el desarrollo del marco de ciberseguridad [18]
- ISO / IEC 27701 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Sistema de gestión de la privacidad de la información (PIMS).
- ISO 27799 - Gestión de la seguridad de la información en salud usando ISO / IEC 27002 - guía a las organizaciones de la industria de la salud sobre cómo proteger la información de salud personal usando ISO / IEC 27002.
En la preparación de
- Se están preparando más normas ISO27K que cubren aspectos como la ciencia forense digital y la ciberseguridad, mientras que las normas ISO27K publicadas se revisan y actualizan de forma rutinaria en un ciclo de ~ 5 años.
Ver también
- ISO / IEC JTC 1 / SC 27 - Técnicas de seguridad de TI
- BS 7799 , la norma británica original de la que se derivaron las normas ISO / IEC 17799, ISO / IEC 27002 e ISO / IEC 27001
- Sistema de gestión de documentos
- Sarbanes-Oxley
- Estándar de buenas prácticas publicado por el Foro de seguridad de la información
Referencias
- ^ Normas ISO de libre disponibilidad: consulte ISO / IEC 27000: 2014
- ^ "ISO / IEC 27001: 2013 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos" . Organización Internacional de Normalización . Consultado el 20 de mayo de 2017 .
- ^ "ISO - Normas ISO - ISO / IEC JTC 1 / SC 27 - Técnicas de seguridad informática" . Organización Internacional de Normalización . Consultado el 20 de mayo de 2017 .
- ^ "Línea de tiempo ISO27K" . ISO27001security.com . ISECT Ltd . Consultado el 1 de abril de 2016 .
- ^ Jake Kouns, Daniel Minoli (2011). Gestión de riesgos de tecnología de la información en entornos empresariales: una revisión de las prácticas de la industria y una guía práctica para los equipos de gestión de riesgos . Somerset: Wiley.
- ^ "David Lacey sobre los orígenes de ISO27K" . Tripwire.com. 18 de octubre de 2013.
- ^ "Inicio« I-4 " . I4online.com . Consultado el 15 de abril de 2017 .
- ^ Normalización, ISO - Organización Internacional para (2006-09-29). "ISO - Organización Internacional de Normalización" . Standards.iso.org . Consultado el 2 de diciembre de 2016 .
- ^ Gasiorowski, Elizabeth (16 de diciembre de 2016). "ISO / IEC 27004: 2016 - Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Seguimiento, medición, análisis y evaluación" . Iso.org . Consultado el 15 de abril de 2017 .
- ^ "ISO / IEC 27005: 2018 - Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" . Iso.org . Consultado el 23 de agosto de 2019 .
- ^ ISO / IEC 27014
- ^ Mahncke, RJ (2013). La aplicabilidad de ISO / IEC27014: 2013 para uso en la práctica médica general. [1]
- ^ "ISO / IEC TR 27015: 2012 - Tecnología de la información - Técnicas de seguridad - Directrices de gestión de seguridad de la información para servicios financieros" . www.iso.org . Consultado el 3 de abril de 2018 .
- ^ "ISO / IEC PRF TS 27022 - Tecnología de la información - Orientación sobre los procesos del sistema de gestión de seguridad de la información" . www.iso.org . Consultado el 21 de enero de 2021 .
- ^ "ISO / IEC DIS 27034-4 - Tecnología de la información - Técnicas de seguridad - Seguridad de la aplicación - Parte 4: Validación y verificación" . www.iso.org . Consultado el 21 de enero de 2021 .
- ^ "ISO / IEC WD 27035-4 - Tecnología de la información - Gestión de incidentes de seguridad de la información - Parte 4: Coordinación" . www.iso.org . Consultado el 21 de enero de 2021 .
- ^ "ISO / IEC 27040" . Catálogo de normas ISO . ISO . Consultado el 15 de junio de 2014 .
- ^ 14: 00-17: 00. "ISO / IEC TS 27110: 2021" . ISO . Consultado el 4 de junio de 2021 .CS1 maint: nombres numéricos: lista de autores ( enlace )