En el III aniversario del blog "Apuntes de seguridad de la información" nace hoy un hermano pequeño orientado de manera integral a la gestión de la seguridad de la información.
Ello se produce porque por fín las diferentes normas nacionales CERTIFICABLES en materia de seguridad de la información han sido consencuadas entorno a la serie ISO 27000 y dando como primera norma de este grupo la ISO "27001" denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
La norma ISO/IEC 27001:2005 cubre todo tipo de organizaciones (empresas, instituciones gubernamentales, organizaciones sin animo de lucro).
ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.
Especifica los requisitos para implantar controles de seguridad acordes con las necesidades individuales de la organización o las partes sobre las que se determine el alcance.
ISO/IEC 27001:2005 está diseñado para garantizar una seleccion adecuada de controles de seguridad y proporcionales a los activos a proteger. También permitirá dar confianza sobre terceras partes que quieran garantizar la correcta gestión de la información en procesos externalizados.
ISO/IEC 27001:2005 puede ser apropiado como base para diferentes tipos de uso entre los que destacan:
- usado dentro de organizaciones para formular sus objetivos y requisitos de seguridad.
- usado dentro de organizaciones como forma de garantizar la gestión del riesgo y la rentabilidad de la inversión en seguridad.
- usado dentro de organizaciones para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información
- usado dentro de organizaciones como marco de procesos en la implantación y gestión de los controles que garantizen el cumplimiento de los objetivos de seguridad que la organización establezca
- como definición del nuevo conjunto de procesos relacionados con la gestión de la seguridad de la información
- como identificación y aclaración de los procesos de gestión de la seguridad
- usado por la dirección de organizaciones para determinar y medir el estado de la seguridad en las actividades de gestión de la información.
- usado por auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las políticas, directivas y normas adoptadas por la organización
-usado dentro de organizaciones para proporcionar información relevante sobre sus políticas, directivas y normas de seguridad e intercambiarlas con sus clientes como una forma de demostrar y garantizar la correcta gestión de la información que en ellos se deposita
-implementación para permitir la creación de nuevas actividades de negocio relacionadas con la seguridad de la información
-usada dentro de organizaciones para proporcionar confianza a sus clientes respecto de la seguridad de la información que pueden proporcionar en la realización de sus servicios
