ANALIZA ESTANDARES INTERNACIONALES DE SEGURIDAD INFORMATICA
*BS 17799:
BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
ISO 27000
Se basa en la segunda parte del estándar británico BS7799 (BS7799:2).
Está compuesta a grandes rasgos por:
ISMS (Information Security
Management System).
Valoración de Riesgo.
Controles.
A semejanza de otras normas ISO, la 27000 es realmente una serie de
estándares. En fase de
desarrollo. Contendrá términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos técnicos
y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie,
que tendrán un coste.
ISO 27001
Es la norma principal de
requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican
por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de
Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas
condiciones de transición para aquellas empresas certificadas en esta última.
ISO/IEC 27002
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas.
ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.
No hay comentarios.:
Publicar un comentario