Norma ISO/IEC 17799 Seguridad Informtica

Universidad de Cartagena Ingeniera de Sistemas

Seguridad y Auditoria de Sistemas

Contenido:
Historia. Definicin. Objetivos. Estructura y Dominios. Ventajas. Implementacin de un plan de seguridad.

Historia:
1987 1995 1999

La norma ISO/IEC 17799 tiene su origen de la norma britnica BS7799

Origen de la BS7799
La BS7799 fue publicada como un cdigo de practica para manejo de seguridad de informacin

Publican la versin totalmente revisada de la BS7799

1 de diciembre bajo ciertas modificaciones surge la ISO/IEC 17799 Revisin de la ISO/IEC 17799 15 de Junio, publican la nueva ISO/IEC 17799

2000 2004

2005

Definicin
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada.
El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la informacin se define como la preservacin de:

Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso.
Integridad: Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.

Objetivos
Proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. Proteger la confidencialidad, integridad y disponibilidad de la informacin escrita, almacenada y transferida. Asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos por una contingencia, as como optimizar la inversin en tecnologas de seguridad.

Estructura y Dominios

La norma ISO/IEC 17799 establece 12 dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin:
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Poltica de seguridad. Aspectos organizativos para la seguridad. Clasificacin y control de activos. Seguridad ligada al recurso humano. Seguridad fsica. Seguridad del entorno. Gestin de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestin de Incidentes en la Seguridad de la Informacin. Gestin de continuidad del negocio. Cumplimiento.

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de controles) y 127 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo).

DOMINIO 1: POLTICA DE SEGURIDAD

Objetivo: Proporcionar la gua y apoyo de la Direccin para la seguridad de la informacin en relacin a los requisitos del negocio y a las leyes y regulaciones relevantes. Principios: La Direccin debera establecer una poltica clara y en lnea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la informacin mediante la publicacin y mantenimiento de una poltica de seguridad de la informacin para toda la organizacin. La poltica de seguridad de la informacin se debera revisar a intervalos planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.

Debe Incluir:
La Direccin debera aprobar y publicar un documento de la poltica de seguridad de la informacin y comunicar la poltica a todos los empleados y las partes externas relevantes.

Objetivos y alcance generales de seguridad. Apoyo Expreso de la direccin. Breve explicacin de los valores de seguridad de la organizacin. Definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin. Referencias a documentos que puedan respaldar la poltica.

Documento de poltica de seguridad de la informacin

DOMINIO 2: ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN

Objetivo Gestionar la seguridad de la informacin dentro de la Organizacin; y mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que sean accesibles por terceros.

Debera seguir los siguientes lineamientos Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin. El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin. Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad. Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por ejemplo, implique la cooperacin y la colaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores y el equipo de seguridad con expertos en reas como la gestin de seguros y la gestin de riesgos.

Organizacin interna

Respecto al manejo de la terceros: La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no debera ser reducida por la introduccin de un servicio o producto externo.
Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y aceptarse en un contrato con la tercera parte.

Terceros

DOMINIO 3: GESTIN DE ACTIVOS

Objetivos: Alcanzar y mantener una proteccin adecuada de los activos de la Organizacin; y asegurar que se aplica un nivel de proteccin adecuado a la informacin.

 Todos los activos deberan ser justificados y tener asignado un propietario. Se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. La implantacin de controles especficos podra ser delegada por el propietario convenientemente. El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la aprobacin del rgano de direccin, para el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona disponga de los derechos de propiedad reales del activo. Como aplicarlo: Elabore y mantenga un inventario de activos de informacin, mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes. Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados.

Responsabilidad sobre los activos

 Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin previsto para su tratamiento. La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir niveles de proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de clasificacin de la informacin para definir el conjunto adecuado de niveles de proteccin y comunicar la necesidad de medidas especiales para el tratamiento. Cmo hacerlo: Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

Clasificacin de la Informacin

DOMINIO 4: SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

Objetivos: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que estn equipados para cumplir con la poltica de seguridad de la organizacin en el desempeo de sus labores diarias, para reducir el riesgo asociado a los errores humanos. Garantizar que los empleados, contratistas y terceras personas abandonan la organizacin o cambian de empleo de forma organizada.

Estructura del dominio

Seguridad en la definicin del trabajo y los recursos
Las responsabilidades de la seguridad se deberan definir antes de la contratacin laboral mediante la descripcin adecuada del trabajo y los trminos y condiciones del empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberan seleccionar adecuadamente, especialmente para los trabajos sensibles. Y debern firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad. Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar.

Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc.

Seguridad en el desempeo de las funciones del empleo

Se debera definir las responsabilidades de la Direccin para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organizacin. A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un adecuado nivel de concienciacin, educacin y capacitacin en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de minimizar los posibles riesgos de seguridad. La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en materiales de concienciacin, contratos de empleo, etc. Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso con la seguridad de la informacin.

Finalizacin o cambio del puesto de trabajo

Se deberan establecer las responsabilidades para asegurar que el abandono de la organizacin por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso. Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar informacin confidencial

DOMINIO 5: SEGURIDAD FSICA

Objetivos: Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y a la informacin de la organizacin. Evitar la prdida, dao, robo o puesta en peligro de los activos y interrupcin de las actividades de la organizacin.

reas seguras
Los servicios de procesamiento de informacin sensible deberan ubicarse en reas seguras y protegidas en un permetro de seguridad definido por barreras y controles de entrada adecuados. Estas reas deberan estar protegidas fsicamente contra accesos no autorizados, daos e interferencias. La proteccin suministrada debera estar acorde con los riesgos identificados. El estndar parece centrarse en el Centro de Procesamiento de Datos pero hay muchas otras reas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se refieren a asegurar la informacin, no slo las TI).

Seguridad de los equipos

Deberan protegerse los equipos contra las amenazas fsicas y ambientales Se podran requerir controles especiales para la proteccin contra amenazas fsicas y para salvaguardar servicios de apoyo como energa elctrica e infraestructura del cableado. Impedir salida de equipos informticos de las instalaciones sin autorizacin escrita. Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Uso de cdigos de barras preferiblemente.

Aspectos a considerar en la seguridad fsica

DOMINIO 6: SEGURIDAD DEL ENTORNO

Las Reglas bsicas sobre la Seguridad Ambiental o del entorno que debemos implementar entre otras son: Protecciones elctricas, de agua y gas. Instalaciones de Aire Acondicionado y Sistemas de Refrigeracin y ventilacin fluida. Proteccin ante Incendios y mtodos eficaces de evacuacin guiados. Sistemas de deteccin en casos de accidentes ambientales, como fuego por ejemplo. Personal de Seguridad y Sistemas de Monitoreo.

DOMINIO 7: GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivos: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Implementar y mantener un nivel apropiado de seguridad de la informacin y de la prestacin del servicio en lnea con los acuerdos de prestacin del servicio por terceros. Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro. Detectar actividades de procesamiento de la informacin no autorizadas. Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin o con cualquier entidad externa.

Para garantizar el cumplimiento de los objetivos se deben:

Establecer las responsabilidades y procedimientos para la gestin Implementar la separacin de funciones cuando corresponda. Documentar los procedimientos de operacin Separar instalaciones de:
Desarrollo Prueba Operaciones

Definir reglas claras para el paso de un software, del estado de desarrollo hacia el estado operativo. Estipular procedimientos y normas para proteger la informacin y los medios fsicos que contienen informacin en trnsito.

Caractersticas

Dominio 8: Control de Acceso

En este dominio se considerada la SEGURIDAD LGICA. Est encargado de administrar los niveles de acceso de todos los empleados para ayudar a controlar la seguridad de la informacin y su flujo, autorizado o no autorizado, en una organizacin. Adems, controlar los niveles de acceso a la red porque pueden llegar a ser un factor crtico de xito cuando se protegen los sistemas de documentacin o informacin en la red. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc.

OBJETIVOS:
Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo.

Dominio 8: Control de Acceso

Dominio 9: Desarrollo y Mantenimiento de Sistemas

Encargado del desarrollo e implementacin de medidas de seguridad y aplicacin de controles de seguridad en las etapas del proceso de desarrollo y mantenimiento de sistemas. Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento...

Dominio 9: Desarrollo y Mantenimiento de Sistemas

OBJETIVOS: Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema.

Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento. Para esto deben crearse: Requisitos de Seguridad de Sistemas: Estos deben ser identificados para el desarrollo de sistemas de informacin. Seguridad de Sistemas de Aplicacin: Sistemas de aplicacin interactivos con los usuarios, sin dejar de lado la seguridad de la informacin.

Dominio 9: Desarrollo y Mantenimiento de Sistemas

Dominio 10: Gestin de Incidentes en la Seguridad de la Informacin

Comunicacin de eventos y puntos dbiles de seguridad de la informacin, gestin de incidentes y mejoras de seguridad de la informacin

Dominio 11: Administracin de la Continuidad de Negocios

Considera el anlisis de todos los procesos y recursos crticos del negocio, y define las acciones y procedimientos a seguir en caso de fallas o interrupcin de los mismos, evitando la prdida de informacin y la cancelacin de los procesos productivos del negocio.

OBJETIVO: Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente grandes fallos o desastres.

Dominio 11: Administracin de la Continuidad de Negocios

Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayudan a fomentar la continuidad de funciones del negocio. Principales etapas o curso a seguir si se presenta un imprevisto. 1. Clasificacin de los distintos escenarios de desastres 2. Evaluacin de impacto en el negocio. 3. Desarrollo de una estrategia de recuperacin. 4. Implementacin de la estrategia. 5. Documentacin del plan de recuperacin. 6. Mantenimiento del plan.

Dominio 11: Administracin de la Continuidad de Negocios

 Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre.

Dominio 11: Administracin de la Continuidad de Negocios

Dominio 12: Cumplimiento

Adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el periodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de practica:

Revisin de la poltica de seguridad y la compatibilidad tcnica Auditoria de sistemas

OBJETIVO:
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma.

Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas.

Dominio 12: Cumplimiento

 Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin.

Dominio 12: Cumplimiento

Ventajas

 La norma permite una gestin efectiva de sus recursos de informacin crticos y los mecnicos de proteccin adecuados.

Aumento de los niveles de seguridad de las organizaciones

 A travs de la norma las organizaciones pueden trazar una efectiva planificacin de las actividades a desarrollar con el objetivo de hacer ms seguro los sistemas.

Planificacin de actividades

 Se tienen en cuenta tanto los procesos de alcance de objetivos de seguridad como los criterios de revisin y mejora continua para mantener los niveles de seguridad deseados.

Mejora continua

 Su implementacin permite a las organizaciones enfrentar nuevos desafos y ampliar sus actividades y competencias de manera segura.

POSICIONAMIENTO ESTRATEGICO

 Este estndar permite alinear los esfuerzos y recursos de la organizacin, ya que en muchos sectores existen normativas y reglamentaciones respecto al tratamiento de la informacin.

CUMPLIMIENTO DE NORMATIVAS Y REGLAMENTACIONES

 Permite crear un marco homogneo para comparar con otras organizaciones el posicionamiento frente a la seguridad de la informacin.

POSICIONAMIENTO EN UN ESQUEMA COMPARATIVO EN MATERIA DE SEGURIDAD CON OTRAS ORGANIZACIONES

Plan de Seguridad
Esta basado en el sistema PLANEAR, HACER, COMPROBAR Y ACTUAR:
Planear Actuar Hacer

Comprobar

 Planificacin: Establecer la poltica, objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin. Hacer: Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos. Comprobar: Medir y revisar las prestaciones de los procesos del SGSI . Actuar: Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la mejora continua del SGSI.

Ciclo

Riesgos Identificacin de los principales informticos para su compaa.

riesgos

Definicin por la direccin de una poltica Poltica bsica de seguridad.

Accin Accin concreta en dos frentes: Normativo Ejecutivo

Implementacin de un Plan de Seguridad

R Identificacin de riesgos en su compaa Clasificacin de los mas crticos

Fraudes informticos Ataque externos a las redes Modificaciones no autorizadas de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destruccin de informacin y equipos

Definicin de una poltica bsica de seguridad

Esta debe ser: Breve Clara Implementable Puesta en marcha por la direccin Difundida al personal y terceros

Definicin de una poltica bsica de seguridad

Accin concreta: Plano Normativo Identificacin de responsabilidades de seguridad

Sonsoreo y seguimiento Direccin de la Compaa Comit de Seguridad Autorizacin Dueos de datos Definicin rea de Seguridad Informtica rea de Legales/otras Cumplimiento directo Usuarios finales Terceros y personal contratado rea de sistemas Administracin Administrador de Seguridad Control Auditora Interna / Externa

Accin concreta: Plano Normativo

Desarrollo de la normativa bsica y publicacin
Normas con definiciones Procedimientos con accin de usuarios Estndares tcnicos para los sistemas Esquema de reportes de auditora

Definicin de un sistema de premios y castigos en su compaa

Definicin de acciones a sancionar y medidas disciplinarias a imponer Comunicacin al personal y terceros in company Utilizacin de convenios de confidencialidad

Accin concreta: Plano Ejecutivo

Definicin e implementacin de la funcin de Seguridad Informtica
Perfil de la funcin Anlisis de riesgos informticos Participacin en proyectos especiales Administracin del da a da Objetivos y tareas bsicas Programas de trabajo rutinarios Automatizacin de tareas y reportes en los sistemas

Accin concreta: Plano Ejecutivo

Mejoras en los procesos del rea de Sistemas
Administracin de Usuarios y Permisos en los Sistemas Separacin de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Fsica de las Instalaciones y Recursos Prevencin de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditora Automtica y Administracin de Incidentes de Seguridad Uso del Correo Electrnico Uso de Servicios de Internet

Accin concreta: Plano Ejecutivo

Plan de Continuidad del Negocio
Definir los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de la informacin relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupcin en la correcta marcha del negocio.

Componentes
Tecnolgico: procesamiento de los sistemas Funcional: procedimientos del personal

A Accin concreta: Plano Ejecutivo

Etapas en la Implementacin del Plan 1: Clasificacin de los distintos escenarios de desastres 2: Evaluacin de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementacin de la estrategia 5: Documentacin del plan de recupero 6: Testeo y mantenimiento del plan

A Accin concreta: Plano Ejecutivo Parametrizacin de las redes y los sistemas de una forma ms segura
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrnico Servidores, PCs y laptops Seguridad fsica Integracin con otras tecnologas

A Accin concreta: Plano Ejecutivo

Implementacin de monitoreos de incidentes de seguridad
Acciones preventivas de monitoreo las 24 hs Circuitos de reportes de incidencias Monitoreos peridicos Auditoras

Concientizacin a los usuarios en seguridad

Usuarios finales Usuarios del rea de sistemas Terceros

Utilizando la tecnologa y los medios disponibles

Intranet de seguridad Correo electrnico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos

 Con el pasar del tiempo esta norma ha sufrido algunas modificaciones, partiendo de la BS 7799, luego siendo la norma ISO/IEC 17799, aunque tomando su pleno reconocimiento en el ao de 2005 y actualmente modificada en el ao 2007.

La modificacin mas notable es la distribucin de los dominios, ya que objetivo sigue siendo el mismo.