29/4/08

Situación actual de la serie 27000

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

  • ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

  • ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.

  • ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.

  • ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.

  • ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.

  • ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.

  • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.

  • ISO/IEC 27007 será una guía para auditar SGSI.

  • ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.

  • ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.

  • ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)

  • ISO/IEC 27031 estará centrada en la continuidad de negocio

  • ISO/IEC 27032 será una guía para la cyberseguridad.

  • ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.

  • ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.

  • ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.


Gary Hinson resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda.
Publicado por 1 comentario:
Etiquetas:

2/4/08

Política de uso de Internet

Al hilo del post que Sergio Hernando publica hoy "Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas", voy a comentar un documento con el que he dado hace pocos días y que me parece interesante referenciar.

El texto se encuentra en el enlace How to write an Acceptable Use Policy (AUP) y ha sido generado por la empresa SurfControl. Lo que merece la pena destacar del documento es que, previo a un razonamiento de por qué es necesario este tipo de políticas internas, indica los aspectos más interesantes que toda buena política de uso debe contemplar, tanto desde el punto de vista de la redacción como en los apartados que debe contener. Aunque ya comenté en el documento Guía para la elaboración del marco normativo de Seguridad ISO 27002 cual es la función de las políticas de uso y cómo encajan dentro del marco general de documentos SGSI, el texto que hoy me ocupa se centra en concreto en la política de uso de Internet. Los objetivos de un documento así son:
  • Clarificar la posición de la empresa respecto al uso de Internet

  • Proteger a la organización de los abusos internos justificando acciones disciplinarias

  • Concienciar y formar al personal sobre las amenazas que pueden presentarse a través de Internet.

  • Fomentar el uso correcto y eficaz de los recursos de la empresa>/li>

Las claves del éxito en la redacción están en:
  • Ser claro en la redacción

  • Consensuar una posición de la empresa

  • Definir expresamente lo que se consideran usos aceptables y tiempos de uso razonables

  • Establecer qué se consideran activos a proteger de la organización y cómo el empleado puede contribuir a ello

  • Definir responsabilidades y consecuencias del incumplimiento de la política

El documento no tiene desperdicio y por tanto, os recomiendo su lectura para profundizar más.
Publicado por 1 comentario:
Etiquetas: ,
Suscribirse a: Entradas (Atom)