10/4/06

Publicada la norma BS 7799-3:2006

Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".

Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.

Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo

BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.

La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006

2 comentarios:

José Manuel Fernández dijo...

Hola Javier. Mi nombre es José Manuel Fernández, y pertenezco a al Grupo Consultor Nexus Asesores (http://www.nexusasesores.com). Estamos moviendo el tema de la familia ISO 27000 por Andalucía. Conozco tu blog ya que he entrado en el de Sergio Hernando. Sergio y yo nos conocemos desde hace ya siglos. Hemos sigo compañeros de facultad, de engaños a profesores (mira que aprobarnos a nosotros - el mundo es de locos), de gamberradas, en fin, de muchas cosas (jeje, es broma). El tema de ISO 27001 y todo su entorno, la verdad es que es un tema todavía 'desconocido' para el empresario, arma fundamental para inyectar recursos de cara a un correcto diseño, implantación y mantenimiento del sistema, al margen de la posible certificación, que con el guirigai que se ha montado con la UNE 71502 pues ya han terminado de confundir a todo el mundo. Nosotros por vías directas con BSI, ISO y otras páginas web anglosajonas que tratan el particular, nos hemos hecho eco de varias de las noticias que tratas aquí. Si te das cuenta, todo el mundo habla acerca del estándar de Singapour SS507 de 2004, supongo que a este nivel, pues las fuentes son escasas y tenemos que nutrirnos de donde podemos.

Este post es simplemente para presentarme y dejar dicho que es también de locos que nadie te responda a estos post informativos tan interesantes a estas alturas.

En la web que aporto está mi dirección de correo para cualquier particular que necesites y, por supuesto, para intercambiar las experiencias que estimes oportunas siempre que quieras. No obstante, echaré vistazos al blog de vez en cuando a ver si cazas algo que se pueda escapar.

Recibe un cordial saludo.

José Manuel Fernández

Anónimo dijo...

¡Hola que tal!, soy estudiante de sistemas computacionales y gracias a una tarea he podido llegar a esta entrada tan informativa, la cual te agradezco. Me preguntaba si podrías compartir un anécdota que tengas sobre el uso de esta norma, un caso en que la hayas aplicado, de antemano gracias, ¡no dejes de hacer estos útiles posts por favor! :).