La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.
Disponemos también de un par de normas ya elaboradas en este tema:
- Risk Management, AZ/NZS 4360:2004
- Guidelines for Information Security Risk Management, BS 7799-3:2006
AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).
Guidelines for Information Security Risk Management, BS 7799-3:2006
En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.
No hay comentarios:
Publicar un comentario