domingo, 28 de febrero de 2010

Serie ISO/IEC 27000: ISO/IEC 27001 (Parte II de IX)

El estándar ISO/IEC 27001 es el más importante de toda la serie 27000, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. Para ello sigue el Ciclo de Deming: PDCA, acrónimo de Plan, Do, Check, Act, que traducido a castellano significa: Planificar, Hacer, Verificar y Actuar:

  • Plan: es la fase de diseño del SGSI, en ella se realiza la evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
  • Do: la fase Do comprende las tareas de implantación y operación de los controles.
  • Check: el objetivo de la fase Check es revisar y evaluar la eficiencia y eficacia del SGSI.
  • Act: en esta fase se realizan los cambios que sean necesarios para maximizar el rendimiento del SGSI.

image

El origen de este estándar proviene de la norma británica British Standard BS 7799-2 publicada en 1998 y elaborada con el propósito de poder certificar los SGSI implantados en las distintas organizaciones por medio de un proceso formal de auditoría realizado por un tercero.

En Octubre de 2005, fue aprobado y publicado como estándar internacional por ISO y por la comisión International Electrotechnical Commision.

El proceso de implantación de ISO/IEC 27001 en una organización es un proyecto largo como el de casi todos los estándares. Se sitúa entre 6 meses y un año, dependiendo del estado de la organización, de su grado de madurez en seguridad de la información y del tamaño de la misma.

El proyecto de implantación debe ir encabezado por la dirección, estará formado por representantes de todas las áreas que formen parte de la implantación del SGSI y por consultores externos especializados en las ramas de protección de datos, sistemas de gestión de la seguridad, seguridad informática y derecho de las nuevas tecnologías.

La certificación de un SGSI es el proceso seguido para verificar que una organización cumple con el estándar ISO/IEC 27001.

La certificación es realizada por una entidad de certificación externa y acreditada para tal fin, que valorará el estado de la organización y emitirá su conformidad con el estándar tras auditar su grado de implantación y eficacia. Concluido el proceso de auditoría la entidad emitirá la correspondiente certificación.

Hasta el año 2005 que surgió el estándar ISO/IEC 27001, las organizaciones interesadas en poseer una certificación de seguridad de la información eran certificadas según el estándar británico BS 7799-2 y al que ahora sustituye.

En el año 2007, se produjo la primera certificación ISO 27001 por parte de una entidad pública, en La Consejería de Agricultura de Murcia, que certificó el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA.

La primera certificación por parte de una entidad financiera se produjo en la Caja Inmaculada, CAI, otorgado por AENOR. La certificación se extiende a los sistemas de información, recursos técnicos y humanos e instalaciones afectas a todos sus procesos de negocio que se realizan en su sede de Independencia, en Zaragoza, y en su red de oficinas. Posteriormente se fue extendiendo la certificación a otros bancos con una alta tradición en banca online como el grupo Bankinter, considerado en la actualidad como el Banco más seguro de internet.

Inteco por su parte fue la primera Sociedad Anónima Estatal que implanta y certifica su Sistema de Gestión de Seguridad de la Información con la ISO 27001. La certificación fue expedida por GMV y Applus+ en 2009 para la sede principal de la entidad pública, así como a su Centro de Respuesta a Incidentes en TI para pymes y en el observatorio de la Seguridad de la Información.


Podéis obtener la ISO/IEC 27001 con fines únicamente didácticos (versión no modificable) desde aqui:
http://elblogdecalles.es/descargas/ISO27001.pdf

No hay comentarios: