La nueva ISO 27007 2017 muy esperada por los auditores del Sistema de Gestión de Seguridad de la Información

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

La nueva ISO 27007 2017 muy esperada por los auditores del Sistema de Gestión de Seguridad de la Información

La nueva ISO 27007 2017 muy esperada por los auditores del Sistema de Gestión de Seguridad de la Información

ISO 27007

ISO 27007

Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la comisión electrotécnica internacional que se encargan de establecer estándares y guías llevadas a cabo con sistemas de gestión y son aplicables a cualquier tipo de empresa internacional y mundial, con el fin de facilitar el comercio, facilitar el intercambio de información y contribuir a la trasferencia de tecnologías.

La familia ISO 27000

La familia de normas ISO 27000 son un conjunto de estándares de seguridad que proporcionan un marco para gestionar la seguridad.

Es necesario que se establezcan prácticas recomendadas en seguridad de la información para desarrollar, implantar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información utilizable en cualquier tipo de empresa, ya sea pública o privada, grande o pequeña, etc.

La seguridad de la información, según la norma ISO 27001, se basa en la preservación de la confidencialidad, integridad y disponibilidad, además de como los sistemas aplicados para su tratamiento.

  • Confidencialidad, la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
  • Integridad, el mantenimiento de la exactitud y la complejidad de la información y sus métodos de proceso.
  • Disponibilidad, acceso y utilización de la información, además de los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.

La guía ISO 27007

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de Seguridad de la Información.

El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de la Información de la auditoría de cumplimiento:

  • Administración del programa de auditoría del Sistema de Gestión de Seguridad de la Información para determinar que se debe auditar, cuando y como, además de asignar los auditores apropiados, administrar todos los riesgos, mantener registros de auditoría, mejorar de forma continua el proceso, etc.
  • Realización de una auditoría, con los que se debe realizar una planificación, establecer una conducta, llevar a cabo las actividades clave de auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el seguimiento.
  • Gestión de auditores del Sistema de Gestión de Seguridad de la Información, como puede ser competencias, habilidades, atributos y evaluación.

La aplicación de la norma ISO 19011

El cuerpo principal de la norma aconseja sobre la aplicación de la norma ISO 19011 al contexto del Sistema de Gestión de Seguridad de la Información, con unos pocos comentarios explicativos no muy útiles. El anexo establece con más nivel de detalle todas las pruebas de auditoría específicas sobre el cumplimiento de la empresa tomando como referencia a la norma ISO 27001.

Para continuar nos deben proporcionar los productos y servicios que necesitamos, además las organizaciones manejan grandes cantidades de datos. La seguridad de la información es una gran preocupación para los consumidores y las organizaciones se alimentan de una serie de ciberataques de alto perfil.

Los estragos causados por estos ataques se deben a celebridades avergonzadas por fotos descuidadas, la pérdida de registros médicos, rescatar amenazas que ascienden a millones que han afectado incluso a las corporaciones más poderosas.

Cuando los datos contengan suficiente información personal, financiera o médica, las empresas tienen la obligación moral y legal de mantenerla a salvo de los ciberdelicuentes. En este momento entra en juego la familia de normas ISO 27000, éstas ayudan a las empresas a administrar la seguridad de actividad como puede ser la información financiera, propiedad intelectual, los detalles de empleados y la información que les ha sido confiados por terceros.

La norma ISO 27001 es el estándar más conocido de toda la familia, la norma proporciona todos los requisitos para un sistema de gestión de seguridad de la información. Es un estándar internacional en el que una empresa puede certificarse, aunque la certificación siempre es opcional.

Auditores

ISO 27007 “Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de sistemas de gestión de la seguridad de la información” ayuda a las empresas y auditores a preparase a fondo proporcionando una guía clara. Se publicó por primera vez en el año 2011, ahora se ha actualizado a ISO 27007 2017 para que se encuentre alineado con la norma ISO 27001 2013.

Software para Seguridad de la Información

El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...