Al igual que la serie ISO9000 de sistemas de gestión de calidad y la serie ISO14000 de sistemas de gestión ambiental, el Sistema de Gestión de Seguridad de la Información (SGSI) es una familia de estándares de gestión de seguridad de la información desarrollados por ISO y está reservado para ISO/ Número de serie IEC 27000.
ISO 27001 juega un papel fundamental en ello. Los estándares más importantes de la familia de estándares de seguridad de la información ISO 270000 se muestran a continuación:
A continuación se enumeran más estándares, de industria, tecnología, Cubre todos los aspectos de la seguridad de la información desde la perspectiva de la aplicación:
ISO27000
Tecnología de la información—tecnología de seguridad—sistema de gestión de seguridad de la información—descripción general y terminología
Este estándar es Se resumen los estándares de gestión de seguridad de la información de la familia de estándares ISMS y se especifica la terminología relacionada con la familia de estándares ISMS.
ISO27001
Tecnología de la información—tecnología de seguridad—sistema de gestión de seguridad de la información—requisitos
Este estándar se deriva de BS7799-2 y propone principalmente los requisitos básicos del SGSI Lanzado oficialmente en octubre de 2005.
ISO27001 se utiliza para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI). Adoptar un SGSI debería ser una decisión estratégica para una organización. El diseño y la implementación del SGSI de una organización están influenciados por las necesidades y objetivos del negocio, los requisitos de seguridad, los procesos adoptados y el tamaño y estructura de la organización. Los factores anteriores y los procesos que los sustentan cambian constantemente. Se espera que el sistema de gestión de seguridad de la información pueda medirse de acuerdo con las necesidades de la organización, como soluciones SGSI simples para situaciones simples. El estándar ISO27001 se puede utilizar como base para evaluar la capacidad de una organización para cumplir con los requisitos de seguridad de la información de los clientes, la propia organización y las leyes y regulaciones. Puede usarse tanto para la autoevaluación organizacional como para la evaluación de la capacidad de los proveedores, y también puede usarse. utilizarse como base para la certificación de terceros independientes. El Centro de Capacitación de Información de Shanghai brinda capacitación para auditores jefes de sistemas de gestión de seguridad de la información ISO 27001LA, acreditados por IRCA.
ISO27002
Tecnología de la información - Tecnología de seguridad - Reglas prácticas para la gestión de la seguridad de la información Este estándar reemplaza a ISO/IEC 17799:2005 y cambia directamente el número de estándar a ISO desde ISO/IEC 17799 :2005 /IEC 27002, implementada en abril de 2007.
Este estándar proporciona orientación y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información dentro de una organización. Los objetivos descritos en esta norma proporcionan una guía general sobre los objetivos generalmente reconocidos de la gestión de la seguridad de la información.
Se espera que los objetivos de control y las medidas de control de esta norma se implementen para cumplir con los requisitos identificados por la evaluación de riesgos. Este estándar puede servir como una guía práctica para desarrollar estándares de seguridad organizacional y prácticas efectivas de gestión de la seguridad, ayudando a generar confianza en las actividades interorganizacionales. Este estándar contiene reglas de implementación que pueden considerarse un punto de partida para desarrollar una guía específica para la organización. No se aplican todos los controles y orientaciones de estas normas de implementación. Además, es posible que se requieran controles y orientaciones adicionales no incluidos en esta norma. Al desarrollar documentos que incluyan controles y guías adicionales, puede ser útil incluir referencias cruzadas a las disposiciones aplicables de esta norma para facilitar las verificaciones de cumplimiento por parte de auditores y socios comerciales.
ISO27003
Tecnología de la información—Tecnología de seguridad—Guía de implementación del sistema de gestión de seguridad de la información
Este estándar se publicó oficialmente en febrero de 2010. Este estándar proporciona orientación de aplicación para establecer un plan de implementación del sistema de gestión de seguridad de la información (SGSI) de acuerdo con ISO/IEC 27001. El SGSI suele implementarse como un proyecto.
ISO27004
Tecnología de la información—tecnología de seguridad—gestión de la seguridad de la información—medición
Este estándar se lanzó oficialmente en diciembre de 2009. Este estándar está diseñado para ayudar a las organizaciones a medir, informar y mejorar sistemáticamente la eficacia de sus sistemas de gestión de seguridad de la información. Esta norma proporciona orientación sobre el desarrollo de elementos de medición y la implementación de medidas para evaluar la efectividad de la implementación de los sistemas de gestión de seguridad de la información y las medidas de control especificadas en ISO/IEC 27001.
ISO27005
Tecnología de la información - tecnología de seguridad - gestión de riesgos de seguridad de la información
Este estándar se basa en BS7799-3 e ISO13335 y se lanzó oficialmente en junio de 2008. . Este estándar describe los requisitos para la gestión de riesgos de seguridad de la información y puede usarse para evaluar riesgos, identificar requisitos de seguridad y respaldar el establecimiento y mantenimiento de sistemas de gestión de seguridad de la información.
ISO27006
Requisitos de la agencia de certificación y auditoría del sistema de gestión de seguridad de la información, tecnología de seguridad de la información
Este estándar se publicó oficialmente en febrero de 2007. Este estándar impone requisitos a las instituciones que brindan certificación SGSI. Todas las instituciones que brindan servicios de certificación SGSI deben demostrar sus capacidades y confiabilidad de acuerdo con los requisitos de este estándar.
ISO27007
Tecnología de la información - Tecnología de seguridad - Guía de auditoría del sistema de gestión de seguridad de la información
Este estándar es para auditar los sistemas de gestión de seguridad de la información de acuerdo con ISO/IEC 27001 Se proporciona orientación para organismos de certificación, auditores internos, auditores externos/terceros y otras actividades de auditoría.
ISO27008
Tecnología de la información - Tecnología de seguridad - Guía del auditor sobre controles SGSI
Este estándar proporciona a todos los auditores de sistemas de gestión de seguridad de la información información sobre "riesgos basados en A". Enfoque basado en la selección de controles SGSI. El estándar brinda soporte para el proceso de gestión de riesgos de seguridad de la información, así como para las auditorías internas y externas del SGSI, al aclarar la relación entre el SGSI y los controles seleccionados. Y proporcionar orientación sobre cómo verificar el grado de implementación de las "medidas de control del SGSI".
ISO/IEC 27009: Marco de gobernanza de la seguridad de la información
ISO27010
Tecnología de la información—Tecnología de seguridad—Gestión interorganizacional de la seguridad de la información
El estándar contendrá varias partes y brindará orientación para compartir información sobre riesgos, controles, disputas e incidentes de seguridad de la información entre industrias, sectores y países.
ISO27011
Tecnología de la información - Tecnología de seguridad - Directrices de gestión de seguridad de la información para organizaciones de telecomunicaciones basadas en ISO/IEC 27002
Este estándar se publicó oficialmente en diciembre de 2008. Este estándar se utiliza en la industria de las telecomunicaciones y fue desarrollado conjuntamente por ITU-T e ISO/IEC JTC1/SC27***, y publicado conjuntamente ITU-T X.1051 e ISO/IEC 27011.
Para las organizaciones de telecomunicaciones, la información y sus procesos de soporte, las instalaciones, redes y líneas de comunicación son activos operativos importantes. La seguridad de la información es esencial para que las organizaciones de telecomunicaciones gestionen adecuadamente sus activos operativos y mantengan de forma correcta y exitosa sus operaciones. de actividad es crucial. Este estándar proporciona requisitos para la gestión de la seguridad de la información de las organizaciones de telecomunicaciones y estipula requisitos para que las empresas de telecomunicaciones establezcan, implementen, operen, monitoreen, revisen, mantengan y mejoren su sistema de gestión de seguridad de la información (SGSI) documentado dentro del marco general de riesgos comerciales.
ISO/IEC 27012: Servicios de gobierno electrónico
ISO27013
Tecnología de TI—Tecnología de seguridad—Guía de implementación integrada ISO/IEC 20000-1 e ISO/IEC 27001
Este estándar proporciona orientación para la implementación integrada de ISO/IEC 27001 (Sistema de gestión de seguridad de la información) e ISO/IEC 20000-1 (Especificación de gestión de servicios de TI).
ISO27014
Tecnología de la información—tecnología de seguridad—estructura de gobierno de la seguridad de la información
Este estándar está diseñado para ayudar a las organizaciones a gestionar la seguridad de la información. La gobernanza de la seguridad de la información tendrá en cuenta: la estrategia, las políticas y los objetivos comerciales de la organización; el cumplimiento de las leyes y regulaciones aplicables relacionadas con la gobernanza; el cumplimiento de las obligaciones contractuales u otras obligaciones legales de la organización con terceros y viceversa; Terceros. Auditorías requeridas y requisitos de certificación.
ISO27015
Tecnología de la información—Tecnología de seguridad—Directrices para sistemas de gestión de seguridad de la información en la industria financiera y de seguros
Este estándar está diseñado para ayudar a las organizaciones del sector financiero. La industria de servicios (como bancos, compañías de seguros, compañías de tarjetas de crédito, etc.) utiliza la serie de estándares ISO27000 para implementar el SGSI. Aunque la industria ya cuenta con algunos estándares de gestión de riesgos y seguridad, como: ISO TR 13569 - Guía de seguridad de la información para la industria bancaria, la guía de implementación del SGSI desarrollada por SC27 reflejará más directamente ISO/IEC 27001 e ISO/IEC 27002.
ISO27031
Tecnología de la información - Tecnología de seguridad - Guía de preparación para las TIC para la continuidad del negocio
ISO/IEC 27031 explicará el papel de las TIC (tecnología de la información y las comunicaciones) ) en Conceptos y principios que desempeñan un papel para garantizar la continuidad del negocio. El estándar: proporcionará un marco (métodos y procesos) para todo tipo de organizaciones (privadas, gubernamentales, no gubernamentales); identificará y especificará todo el contenido relevante para mejorar las capacidades de preparación de las TIC y garantizar la continuidad del negocio como parte del SGSI de la organización, incluido : Criterios de desempeño, detalles de implementación, etc.; permite a una organización medir su continuidad, seguridad y, por lo tanto, su preparación para recuperarse de desastres con un enfoque consistente y validado.
ISO27032
Tecnología de la información - Tecnología de seguridad - Guía de seguridad del ciberespacio
ISO/IEC 27032 detallará los problemas de seguridad únicos que enfrenta el "ciberespacio". El "ciberespacio" se define en la norma como: un entorno complejo causado por la interacción de personas, software y servicios en Internet que no existe de ninguna manera física y está interconectado a través de instalaciones y redes técnicas. Hay cuestiones de seguridad en el ciberespacio que no pueden ser cubiertas por la seguridad de la información, la seguridad de Internet, la seguridad de las redes y la seguridad de las TIC actuales debido a las brechas entre estos campos de seguridad. La seguridad del ciberespacio resolverá los problemas de seguridad causados por las brechas en diferentes campos de seguridad del ciberespacio. Al mismo tiempo, la seguridad del ciberespacio proporciona una base marco para la cooperación entre los diferentes actores de la seguridad en el ciberespacio.
ISO27033
Tecnología de la información - tecnología de seguridad - seguridad de red
(La primera parte, ISO/IEC 27033-1, se publicó oficialmente en diciembre de 2009 ).
ISO/IEC 27033 será un estándar de varias partes derivado de las cinco partes del estándar de ciberseguridad ISO/IEC 18028 ya existente. Las normas existentes no sólo cambiarán de nombre, sino que también se modificarán significativamente.
ISO/IEC 27033 proporciona orientación detallada para la implementación de controles de seguridad de red introducidos por ISO/IEC 27002, incluidas las siguientes partes:
ISO/IEC 27033-1: 2009 Tecnología de la información -- Técnicas de seguridad -- Seguridad de red -- Parte 1: Descripción general y conceptos
ISO/IEC 27033-2: Directrices para el diseño e implementación de seguridad de red
ISO/IEC 27033 -3: Escenarios de redes de referencia: amenazas, técnicas de diseño y problemas de control
ISO/IEC 27033-4: Seguridad de las comunicaciones entre redes mediante puertas de enlace de seguridad: amenazas, técnicas de diseño y problemas de control
ISO/IEC 27033-5: Protección de redes privadas virtuales: amenazas, técnicas de diseño y problemas de control
ISO/IEC 27033-6: Convergencia IP
ISO/IEC 27033- 7: Directrices para proteger las redes inalámbricas - Riesgos, técnicas de diseño y cuestiones de control
ISO/IEC 27033-8: Directrices para proteger [insertar otros aspectos de seguridad de la red] - Riesgos, técnicas de diseño y cuestiones de control
ISO27034
Tecnología de la información—Tecnología de seguridad—Seguridad de aplicaciones
ISO/IEC 27034 será un estándar que contendrá varias partes. Este estándar proporciona orientación para planificar, diseñar, seleccionar e implementar controles de seguridad de la información a través de un conjunto de procesos que se integran con el ciclo de vida de desarrollo de sistemas de una organización.
El estándar contiene las siguientes partes:
ISO/IEC 27034-1 - Tecnología de la información - Técnicas de seguridad - Conceptos y descripción general de seguridad de aplicaciones
ISO/IEC 27034-2 - Marco normativo de la organización
p>ISO/IEC 27034-3 - Proceso de gestión de seguridad de aplicaciones
ISO/IEC 27034-4 - Validación de seguridad de aplicaciones
ISO/IEC 27034-5 - Protocolos y estructura de datos de control de seguridad de aplicaciones
ISO/IEC 27034-6 - Guía de seguridad para aplicaciones específicas
ISO27035
Tecnología de la información - tecnología de seguridad - gestión de eventos de seguridad
ISO/IEC 27035 se actualizará desde ISO TR 18044.
ISO27036
Seguridad de TI—Tecnología de seguridad—Guía de gestión de seguridad de subcontratación
ISO/IEC 27036 guiará a las organizaciones para evaluar y eliminar inclusiones en la compra y uso de servicios de subcontratación de riesgos de seguridad y apoyar la implementación de medidas de control de seguridad ISO/IEC 27002 para la subcontratación.
ISO27037
Seguridad de TI—Tecnología de seguridad—Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital
Este estándar proporcionará orientación para la identificación, recopilación, adquisición y conservación de pruebas electrónicas. Se proporciona orientación detallada sobre adquisición, etiquetado, almacenamiento, manipulación y protección.
Actualmente aún no se ha determinado el nombre y alcance de la norma.
ISO27799
Informática médica: gestión de seguridad de la información médica utilizando ISO/IEC 27002
Esta norma es emitida por el Comité Técnico ISO TC215 responsable de Informática Médica, en lugar de emitido por el Comité Técnico Conjunto ISO IEC JTC1/SC27 responsable de ISO27K. Por lo tanto, todavía es controvertido si ISO 27799 es miembro de la serie de normas ISO/IEC 27000. ISO 27799:2008 brinda soporte para la comprensión e implementación de ISO/IEC 27002 en el campo de la información médica y es un estándar complementario de ISO/IEC 27002.