Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos y registros establecidos en Título VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantación en la empresa, dado que es la información utilizada para la revisión del cumplimiento.
El documento puede ser obtenido aquí
28/2/08
20/2/08
Aproximación práctica a la gestión del riesgo
De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestión del riesgo. Para aquellos que no tengan claro cómo documentar la metodología de análisis y gestión del riesgo y mientras la norma ISO 27005 (que está en fase de desarrollo con fecha prevista de publicación en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk
La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.
Disponemos también de un par de normas ya elaboradas en este tema:
AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).
Guidelines for Information Security Risk Management, BS 7799-3:2006
En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.
La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.
Disponemos también de un par de normas ya elaboradas en este tema:
- Risk Management, AZ/NZS 4360:2004
- Guidelines for Information Security Risk Management, BS 7799-3:2006
AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).
Guidelines for Information Security Risk Management, BS 7799-3:2006
En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.
Nuevo diseño del Blog
Este post es para anunciar cambios en la plantilla de diseño del blog y la inclusión de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestión de la seguridad de la información. Si alguno considera que dispone de una página que pudiera ser interesante apuntar en la sección de links que me lo haga llegar a través de los comentarios.
Suscribirse a:
Entradas (Atom)