1. ISO 27006 Requisitos y guía para la acreditación de organizaciones certificadoras del SGSI
1.1. Especifica los requisitos para la acreditación de entidades de auditoria y certificación de sistemas de gestión de seguridad de la información
1.2. Los requisitos generales a los que hace referencia son
1.2.1. Orientación específica del SGSI en relación con la imparcialidad
1.2.2. Listado del trabajo que pudiera estar en conflicto.
1.2.3. Inclusión de una lista de todas las actividades que se pueden realizar fuera
2. ISO 27007 Guía de auditoria
2.1. proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma
2.2. Entre las funciones específicas que debe tener encontramos
2.2.1. Administración del programa de auditoria
2.2.2. Realización de una auditoria
2.2.3. Gestión de auditores del SGSI
3. ISO 27008 Guía para auditar los controles seleccionados para implantar un SGSI
3.1. No está dirigido a entidades certificadoras, su uso es útil tanto para las organizaciones como para las certificadoras
4. ISO 27009 requisitos para usar la norma ISO 27001 en cualquier otro ámbito
4.1. Explica cómo incluir requisitos adicionales a los del estándar ISO 27001, cómo refinar cualquiera de los requisitos de este y cómo incluir controles o conjuntos de control además de los del estándar ISO/IEC 27001
4.2. Asume que todos los requisitos del estándar ISO 27001 que no se refinan o interpretan, y todos los controles en el estándar ISO 27002 que no se modifican, se aplicarán en el contexto específico del sector sin cambios
4.3. Esta estructurado por 7 puntos
5. 27010 Guía para gestionar la seguridad de la información
5.1. Trata sobre intercambio de información entre organizaciones, los riesgos que conlleva, los controles que se pueden implementar, las incidencias que pueden ocurrir
5.2. Está muy orientada a la protección de la información que se intercambia relacionada con las Infraestructuras Críticas
5.3. Propone reglas habituales para que no ocurran problemas de seguridad en los intercambios de información sensible
6. 27011 guía de interpretación de la información y gestión de la seguridad
6.1. Elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU)
6.2. Aborda las directrices de gestión de seguridad para las organizaciones de telecomunicaciones basadas en la norma ISO 27002
6.3. Sus objetivos son
6.3.1. Seguridad de la información a través de prácticas que den confianza en las actividades realizadas por las organizaciones
6.3.2. Retos globales de la seguridad de la información acondicionados exclusivamente para estas empresas
7. 27014 guía de gobierno corporativo de la seguridad de la información
7.1. Facilita la dirección, control y evaluación de la seguridad de la información en las actividades de la organización
7.2. Tiene los siguientes procesos
7.2.1. Evaluar
7.2.2. Dirigir
7.2.3. Monitorizar
7.2.4. Comunicar
7.2.5. Asegurar
8. ISO 27015 guía de SGSI orientada a organizaciones del sector financiero y de seguros
8.1. Determina la orientación de las organizaciones que llevan a cabo una prestación de servicios financieros con la finalidad de servir de apoyo a la gestión de seguridad de la información de sus activos y de la información procesada
9. 27016 Guía para la valoración de los aspectos económicos de la seguridad de la información
9.1. Sirve para entender las consecuencias económicas que puede tener mantener la información protegida en una organización
10. 27017 Guía de seguridad para Cloud Computing
10.1. proporciona controles para proveedores y clientes de servicios en la nube
10.2. Basado en la ISO 27002 contiene
10.2.1. 37 controles Basado en la ISO 27002
10.2.2. 7 nuevos controles
11. Arnaldo Ramos Vargas - Tarea 3 - Modulo 4
12. ISO 27001 Requerimientos para el SGSI
12.1. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
12.2. Beneficios:
12.2.1. Establece una metodología de SGSI estructurada
12.2.2. Intenta reducir los riesgos de robo, perdida o corrupción de la información.
12.2.3. Realizar un acceso seguro a la información.
12.2.4. Los riesgos y sus respectivos controles son revisados periódicamente.
12.3. Contiene
12.3.1. Introductorias.
12.3.1.1. Sección 0: introducción
12.3.1.2. Sección 1: Alcance
12.3.1.3. Sección 2: Referencias normativas
12.3.1.4. Sección 3: Términos y definiciones
12.3.2. Obligatorias
12.3.2.1. Sección 4: Contexto de la organización
12.3.2.2. Sección 5: Liderazgo
12.3.2.3. Sección 6: planificación
12.3.2.4. Sección 7: Apoyo
12.3.2.5. Sección 8: Funcionamiento
12.3.2.6. Sección 9: Evaluación del desempeño
12.3.2.7. Sección 10: Mejora
12.3.3. Anexo A
12.3.3.1. Catálogo de controles
13. ISO 27002 Código de buenas practicas SGSI
13.1. Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.
13.2. Contiene
13.2.1. 14 Dominios
13.2.2. 35 Objetivos
13.2.3. 114 Controles
13.3. Algunos beneficios son:
13.3.1. Mayor entendimiento sobre la seguridad de la información
13.3.2. Mayor control de activos e información sensible
13.3.3. Oportunidad de identificar y corregir puntos débiles, etc
14. ISO 27003 Directrices para la implementación del SGSI
14.1. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación
14.2. Estructura para implementar un SGSI
14.2.1. Obtener la aprobación gerencial para iniciar un proyecto SGSI
14.2.2. Definir el alcance del SGSI y la política del SGSI
14.2.3. Realizar un análisis de la organización
14.2.4. Valorar los requisitos de seguridad para la información
14.2.5. Riesgo y planificar el tratamiento del riesgo
14.2.6. Diseñar el SGSI
15. ISO 27004 Métricas para el SGSI
15.1. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados
15.2. Establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el SGSI
15.3. Contiene
15.3.1. Elección de los objetivos y procesos de medición
15.3.2. Descripción de las líneas principales
15.3.3. Selección de datos
15.3.4. Desarrollo de un sistema de medición
15.3.5. Interpretación de los valores medidos
15.3.6. Notificación de los valores de medición