ESTANDAR INTERNACIONAL ISO/IEC 27002 ANTIGUAMENTE ISO/IEC 17799

Cdigo de Buenas Practicas para la gestin de Seguridad de la Informacin

QUE ES ISO?
Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin (tanto de productos como de servicios), comercio y comunicacin para todas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones (pblicas o privadas) a nivel internacional.

QU ES IEC?
Esta es una organizacin sin fines de lucro y tambin no gubernamental. Se ocupa de preparar y publicar estndares internacionales para todas las tecnologas elctricas o relacionadas a la electrnica.

QU ES ISO/IEC?
ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1. Este comit trata con todos los asuntos de tecnologa de la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por subcomits que tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el que se encarga de las tcnicas de seguridad de las tecnologas de informacin. Dicho subcomit ha venido desarrollando una familia de Estndares Internacionales para el Sistema Gestin y Seguridad de la Informacin. La familia incluye Estndares Internacionales sobre requerimientos, gestin de riesgos, mtrica y medicin, y el lineamiento de implementacin del sistema de gestin de seguridad de la informacin.

ESTNDAR INTERNACIONAL ISO/IEC 27002

Este estndar va Orientado a la seguridad de la informacin en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, dao o perdidas de informacin se minimicen al mximo. Los objetivos de esta norma estan destinados a ser implementados para satisfacer los requisitos identificados por la evaluacion de riesgos

2. TERMINOS Y DEFINICIONES
En este punto se habla de los terminos y definiciones, utilizados en este estandar como ser:
Activo Control Lineamiento Medios de procesamiento de la informacin Seguridad de la informacin Evento de seguridad de la informacin Incidente de seguridad de la informacin Poltica Riesgo Anlisis de riesgo Evaluacin del riesgo Gestin del riesgo Tratamiento del riesgo Tercera persona Amenaza Vulnerabilidad

3. ESTRUCTURA DE ESTE ESTANDAR

Aqu se detallan todos las clausulas que contiene esta norma: Poltica de seguridad. Aspectos organizativos de la seguridad de la informacin. Gestin de activos. Control de acceso. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. Gestin de incidentes en la seguridad de la informacin. Gestin de la continuidad del negocio. Cumplimiento.

Seguridad ligada a los recursos humanos.

Seguridad fsica y ambiental. Gestin de comunicaciones y operaciones.

4. EVALUACIN DE LOS RIESGOS DE SEGURIDAD

Se debe identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas, para reducir la probabilidad de que ocurran consecuencias negativas.

Este proceso no debe ser arbitrario, ni regido por la voluntad de los administradores de la empresa, sino que debe seguir medidas adecuadas y eficientes, teniendo en cuanta los requerimientos, restricciones y regulaciones nacionales e internacionales

5. POLTICAS DE SEGURIDAD

6. ASPECTOS ORGANIZATIVOS DE LA S I

7. GESTIN DE ACTIVOS

8. SEGURIDAD LIGADA A LOS RR.HH.

9. SEGURIDAD FSICA Y AMBIENTAL

10. GESTIN DE COMUNICACIN Y OPERACIONES

11. CONTROL DE ACCESO

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SI

13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO

15. CUMPLIMIENTO

 PREGUNTAS ??????