lunes, 16 de enero de 2006

Norma ISO 17799 Vs. ISO 27001

En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.
La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.


A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:
a) Security Policy;
b) Organizing Information Security;
c) Asset Management;
d) Human Resources Security;
e) Physical and Environmental Security;
f) Communications and Operations Management;
g) Access Control;
h) Information Systems Acquisition, Development and Maintenance;
i) Information Security Incident Management;
j) Business Continuity Management;
k) Compliance.
En próximos boletines, les iremos informando de las nuevas modificaciones.
Saludos...

10 comentarios:

Anónimo dijo...

Podrás poner más información sobre esto, ya que es muy novedoso y en la Web casi no hay información sobre la modificacion de la ISO 17799.
Gracias.

Anónimo dijo...

Es verdad enrique, tenes mas informacion al respecto? de donde se puede bajar la norma?

Muchas gracias

Gabriel

Anónimo dijo...

Estimados
La Norma debe ser adquirida formalmente en ISO. En Argentina IRAM comercializa la misma por $ 183 pesos.
Saludos

Quique

Anónimo dijo...

Información valiosa y de un gran experto en blog de ISO 27001. Responde dudas por eMail y todo. Está bien.

Anónimo dijo...

Estimados,

existe información activa y además en español con noticias de actualidad, artículos traducidos y originales de profesionales, enlaces y herramientas en www.iso27000.es

Saludos,

Anónimo dijo...

Estimado Quique, solo para clarificar un poco las cosas, la familia de la Norma es ISO 27000, la 17799 NO ES un Norma, es una recomendación y por ello no es certificable. Se espera que para el 2008 esta recomendación se transforme en la Norma ISO 27002. El mayor auge de esta recomendación, está dado por la Ley SOX, legislación cursada en EE.UU. el año 2002 que obliga aseguir una serie de procedimientos de seguridad de la información a todas aquellas empresas que transen acciones en las bolsas de comercio de EE.UU. (pueden bajar el texto original en inglés de la ley en el congreso de EE.UU.) No es de extrañarse que los legisladores, desconocedores de los aspectos técnicos y asesorados por especialistas, transformaran en LEY de los Estados Unidos de America una recomendación de BSI (BS 7799) la que con cambios menores fue rebautizada por ISO como la recomendación 17799.

Existe mucha información en todos lados, el tema es que es muy específica y hay que darse la lata de leer mucho. La Norma en si, la vende cada organismos nacional de normalización y los precios varían. En Chile, el INN a homologado la recomendación 17799 con la versión nch2777 y tienen un precio del orden de US$53 (www.inn.cl). En todo caso, cada país debe tener su versión local.

Anónimo dijo...

Perdón pero creo que eso del "vs" no es muy adecuado. Después de todo, ambas normas derivan directamente de una misma BS 7799, donde simplemente la primera parte es un catálogo de controles que se recomiendan, y que luego de ser seleccionados en base a un análisis de riesgos, se implementan conforme los requisitos de la segunda parte.
Hay en Internet algunas páginas, incluso de Argentina, donde se explica claramente todo esto.

Anónimo dijo...

Hola Enrique, en vista de que conoce sobre las normas iso, me gustaria que me ayudara un poco; le cuento estoy haciendo mi tesis empleando la norma 17799:2000, recomendaciones de seguridad informática. Yo me he estado guiandome en las páginas que he descargado del internet y sobre todo en el archivo "esquema 1 de norma IRAM-ISO IEC 17799" es un documento que dodavia esta en estudio, ¿cree usted qué, no debí confiarme de este articuloy que deí adquirir la norma? y si es asi donde la compro. investigando más o menos, en mi país(Ecuador)hay empresas que brindan certificación en otras iso.

Carlos Ramirez Carrascal dijo...

Lo que debemos realizar es adaptar ISO 17799 a cada una de nuestras actividades, las ventajas de una u otra se ven segun los procesos..

Uro Cacho dijo...

excelente, me gustaria que compartieras más informacion sobre el tema
puedes postearlo o mandarlo por mail
mil gracias