Evolución Familia ISO 27000 a octubre del 2016
1 recomendación2,431 vistas
El documento detalla las normas de la familia ISO 27000, que abarcan la gestión de seguridad de la información, incluyendo directrices, requisitos y mejores prácticas. Se mencionan publicaciones y actualizaciones de varias normativas, como ISO/IEC 27001 y 27002, que se centran en la implementación y auditoría de sistemas de gestión de seguridad de la información. Además, se incluyen orientaciones específicas para sectores como telecomunicaciones, salud y gestión de riesgos.
Evolución Familia ISO 27000 a octubre del 2016
- 1. Ricardo Urbina M. 2008 ISO/IEC 27011:2008 ISO/IEC 27799:2008 Familia ISO 27000 – Octubre 2015 ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 ISO/IEC 27005:2011 ISO/IEC 27035:2011 ISO/IEC 27031:2011 2011 2009 ISO/IEC 27004:2009 ISO/IEC 27010:2012 ISO/IEC 27013:2012 ISO/IEC TR 27015:2012 ISO/IEC 27032:2012 ISO/IEC 27033-2:2012 ISO/IEC 27037:2012 2012 2010 ISO/IEC 27003:2010 ISO/IEC 27033-3:2010 2013 ISO/IEC 27014:2013 ISO/IEC 27019:2013 ISO/IEC 27033-5:2013 ISO/IEC 27036-3:2013 ISO/IEC 27034-1:2014 ISO/IEC 27002:2014 2014 ISO/IEC 27001:2014 ISO/IEC 27018:2014 ISO/IEC 27000:2014 ISO/IEC 27036-1:2014 ISO/IEC 27036-2:2014 ISO/IEC 27033-4:2014 ISO/IEC TR 27016:2014 ISO/IEC 27038:2014 Ricardo Urbina M. ISO/IEC 27034-2:2015 2015 ISO/IEC 27033-1:2015 ISO/IEC 27039:2015 ISO/IEC 27040:2015 ISO/IEC 27041:2015 ISO/IEC 27042:2015 ISO/IEC 27043:2015 ISO/IEC 27023:2015 ISO/IEC 27006:2015
- 2. Ricardo Urbina M. ISO/IEC 27799:2016 Familia ISO 27000 – Octubre 2016 ISO/IEC 2709:2012 ISO/IEC TR 27015:2012 ISO/IEC 27032:2012 ISO/IEC 27033-2:2012 ISO/IEC 27037:2012 2012 2013 ISO/IEC 27014:2013 ISO/IEC 27019:2013 ISO/IEC 27033-5:2013 ISO/IEC 27036-3:2013 ISO/IEC 27000:2016 ISO/IEC 27034-1:2014 2014 ISO/IEC 27018:2014 ISO/IEC 27036-1:2014 ISO/IEC 27036-2:2014 ISO/IEC 27033-4:2014 ISO/IEC TR 27016:2014 ISO/IEC 27038:2014 ISO/IEC 27002:2015 ISO/IEC 27001:2015 ISO/IEC 27034-2:2015 2015 ISO/IEC 27033-1:2015 ISO/IEC 27039:2015 ISO/IEC 27040:2015 ISO/IEC 27041:2015 ISO/IEC 27042:2015 ISO/IEC 27043:2015 ISO/IEC 27023:2015 ISO/IEC 27006:2015 ISO/IEC 27010:2015 ISO/IEC 27013:2015 ISO/IEC 27017:2015 ISO/IEC 27033-6:2014 ISO/IEC 27036-4:2016 2016 ISO/IEC 27011:2008 ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 ISO/IEC 27005:2011 ISO/IEC 27035:2011 ISO/IEC 27031:2011 ISO/IEC 27004:2009 ISO/IEC 27003:2010 ISO/IEC 27033-3:2010 2011 y anteriores
- 3. Ricardo Urbina M. Norma Año Objetivo ISO/IEC 27000 2016 Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de 2012, tercera edición enero del 2014 y cuarta en febrero 2016. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. ISO/IEC 27001 Cor 2:2015 2015 Establece requerimientos a cumplir un Sistema de Gestión de Seguridad de la Información (SGSI). Es certificable. Actualizada en el 2013 aumentando de 102 a 130 requisitos y con claúsulas hasta la 10, se elimina modelo P-D-C-A liberando que existen para otros que tambien permiten mejora continua. Se realiza una actualización/corrección en noviembre del 2015. ISO/IEC 27002 Cor 2:2015 2015 Código o Guía de buenas prácticas para la Seguridad de la Información, detalla los 133 controles reunidos en 11 grupos, más 39 “Objetivos de control”. Actualizada el 2013 disminuyendo a 114 controles pero aumentando a 13 dominios. Se actualiza/corrige en noviembre del 2015 ISO/IEC 27003 2010 Guía de Implementación. Describe los aspectos a tener en cuenta para la implantación de un SGSI. ISO/IEC 27004 2009 Describe todos los aspectos de métricas, indicadores y mediciones que deben realizarse sobre un SGSI. ISO/IEC 27005 2011 Trata los aspectos relacionados a la Gestión de riesgos. La primera publicación fue el 2008 y luego se realizo una actualización en junio del 2011. ISO/IEC 27006 2015 Especifica los requisitos que debe reunir cualquier organización que desee acreditarse como “Entidad certificadora” de ISO 27001. La segunda edición es del 2011, la primera fue el 2007. Actualizado a octubre 2016
- 4. Ricardo Urbina M. Norma Año Objetivo ISO/IEC 27007 2011 Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011 ISO/IEC TR 27008 2011 Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO/IEC 27009 2016 Define los requerimientos a cumplir en cualquier tipo de industria para poder aplicar ISO/IEC 27001 ISO/IEC 27010 2015 Consiste en una guía para la gestión de la seguridad de la información en el contexto de la familia de normas ISO/IEC 27000 ISO/IEC 27011 2008 Guía de implementación de un SGSI para el sector de Telecomunicaciones. ISO/IEC 27013 2015 Es una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). Publicada en el 2012 y luego actualizada en noviembre del 2015. ISO/IEC 27014 2013 Plantea un Marco de Gobernabilidad para la Seguridad de la Información ISO/IEC TR 27015 2012 Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. ISO/IEC TR 27016 2014 Guía para el apoyo en la toma de decisiones en torno a la Seguridad de la Información considerando las consecuencias económicas en el contexto de y conociendo el contexto de la competencia por recursos. ISO/IEC 27017 2015 Proporciona orientación para la implementación de controles de seguridad de la información dirigidos específicamente a los servicios de nube. ISO/IEC 27018 2014 Establece los objetivos de control a partir de la ISO 27002 para proteger la información personal en acuerdo con los principios de la ISO/IEC 29100 en ambientes de nube pública. Publicada en julio del 2014. Actualizado a octubre 2016
- 5. Ricardo Urbina M. Norma Año Objetivo ISO/IEC 27019 2013 Controles basados en ISO 27002 pero orientados a la industria de la Energía. ISO/IEC 27023 2015 Muestra la relación entre la ISO 27001 y la ISO 27002 respecto a los cambios realizados el 2013. ISO/IEC 27031 2011 Directrices para la preparación de las TIC en la Continuidad de Negocio. ISO/IEC 27032 2012 Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). ISO/IEC 27033-1 2015 Seguridad en redes conceptos generales, corresponde a la parte 1 de 7. ISO/IEC 27033-2 2012 Directrices de diseño e implementación de seguridad en redes ISO/IEC 27033-3 2010 Escenarios de referencia de redes ISO/IEC 27033-4 2014 Es una guía de como asegurar las comunicaciones entre distintas redes, básicamente las políticas de seguridad a aplicar para los equipos que interconectan dichas redes. Publicada en febrero del 2014. ISO/IEC 27033-5 2013 Corresponde a indicaciones de como seleccionar, monitorear, gestionar y controlar las VPN. ISO/IEC 27033-6 2016 Corresponde a una guía para seguridad en redes inalámbricas Actualizado a octubre 2016
- 6. Ricardo Urbina M. Norma Año Objetivo ISO/IEC 27034-1 2014 Seguridad en aplicaciones informáticas, consistente en 5 partes, donde 27034-1 corresponde a los conceptos generales. Publicada en el 2011, actualizado/corregido en enero 2014 ISO/IEC 27034-2 2015 Proporciona una descripción detallada de la Normativa Marco de la Organización y proporciona orientación a las organizaciones para su implementación. ISO/IEC 27035 2011 Guía sobre la gestión de incidentes de seguridad en la información de grandes y medianas empresas ISO/IEC 27036-1 2014 Es la primera parte de la norma 27036 que aborda como se deben realizar las relaciones con terceras partes, en particular la 1 es donde se da el contexto de la norma y los conceptos asociados. Publicada en marzo del 2014. ISO/IEC 27036-2 2014 Se especifican los requerimientos de seguridad de la información que se deben cumplir al definir, implementar, operar, monitorear, revisar, mantener y mejorar en las relaciones con terceros (proveedores y adquirientes). Publicada en julio del 2014 ISO/IEC 27036-3 2013 Proporciona productos y servicios adquirentes y proveedores de la tecnología de la información y la comunicación (TIC). ISO/IEC 27036-4 2016 Proporciona recomendaciones de seguridad para los Servicios en la Nube ISO/IEC 27037 2012 Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales. Actualizado a octubre 2016
- 7. Ricardo Urbina M. Norma Año Objetivo ISO/IEC 27038 2014 Es una guía que especifica las técnicas para llevar a cabo la redacción digital en documentos digitales, además, especifica los requerimientos y métodos de control para realizar una redacción segura. Publicada en marzo del 2014 ISO/IEC 27039 2015 Proporciona directrices para ayudar a las organizaciones en la preparación para implementar sistemas de prevención (PDI) de detección de intrusos. ISO/IEC 27040 2015 Proporciona orientación técnica detallada sobre cómo las organizaciones pueden definir un nivel apropiado de mitigación de riesgos mediante el empleo de un enfoque bien probada y consistente para la planificación, diseño, documentación y puesta en práctica de la seguridad de almacenamiento de datos. ISO/IEC 27041 2015 Proporciona orientación sobre mecanismos para asegurar que los métodos y procesos utilizados en la investigación de los incidentes de seguridad de la información son "aptos para el propósito". ISO/IEC 27042 2015 Proporciona orientación sobre el análisis e interpretación de la evidencia digital de una manera que se ocupa de cuestiones de continuidad, validez, reproducibilidad y repetibilidad. ISO/IEC 27043 2015 Proporciona directrices basadas en modelos idealizados de los procesos de investigación de incidentes comunes a través de diversos escenarios de investigación de incidentes que involucran evidencia digital. ISO/IEC 27799 2016 Orientada a la aplicación de la gestión de la Seguridad de la Información en el ámbito de la Salud en particular en base a la ISO 27002. Publicada en el 2008 y actualizada en julio del 2016. Actualizado a octubre 2016