ISO / IEC 27007:2011 Tecnología de la información - Técnicas de seguridad Directrices para la gestión de los sistemas de seguridad de la informaciónde auditoría Esta norma proporciona orientación para los organismos de certificación acreditados, auditores internos, auditores externos del partido / tercera SGSI y otros en contra de auditoría ISO / IEC 27001 (auditoría es decir, el sistema de gestión para el cumplimiento de la norma). ISO / IEC 27007 y refleja en gran parte se refiere a la norma ISO 19011 , la norma ISO de calidad y auditoría de sistemas de gestión ambiental - "sistemas de gestión", por supuesto, es el factor común que une a los estándares ISO27k. Proporciona adicional SGSI orientación específica. ISO / IEC 27007 también se basa en la norma ISO 17021 Evaluación de la Conformidad - Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión y se alinea con la norma ISO / IEC 27006 , el organismo de certificación SGSI norma de acreditación. Estructura La norma abarca los aspectos específicos del SGSI de la auditoría de cumplimiento: Gestión del programa de auditoría de SGSI (determinando qué auditar, cuándo y cómo; asignación de auditores apropiados, la gestión de riesgos de auditoría, el mantenimiento de registros de auditoría; mejora continua del proceso); Realización de un SGSI MS auditoría (proceso de auditoría - la planificación, conducción, las principales actividades de auditoría, incluyendo el trabajo de campo, análisis, reporte y seguimiento-); Gestión de ISMS auditores (competencias, habilidades, atributos, evaluación). Estado de la norma La norma fue publicada en noviembre de 2011 y está disponible para CHF122 de la tienda web de ISO / IEC . [Por cierto, la norma ISO 19011 fue revisado y reeditado en 2011. Está disponible para CHF146 desde la tienda web de ISO / IEC .] Otras directrices para la auditoría de SGSI Aparte de '27007, aquí están algunas fuentes alternativas / complementarias de asesoramiento sobre la auditoría del SGSI: en particular las que afectan a la "infraestructura crítica". El Foro ISO27k desarrollado una Directriz de Auditoría de SGSI como su contribución a la norma ISO / IEC 27007. Descargue la Auditoría libre SGSI liberación Directriz 1 en formato PDF aquí o. ISACA liberado Directriz de Auditoría de G40 sobre Revisión de las prácticas de gestión de seguridad . Si desea auditar la seguridad de la información controla en comparación con el sistema de gestión. los controles. Alcance ISO / IEC 27010 proporciona una guía sobre seguridad de la información y las comunicaciones interfuncionamiento entre las industrias en los mismos sectores. véase la norma ISO / IEC 27008 . ISO / IEC 27010:2012 Tecnología de la información . los problemas y / o incidentes que abarcan los límites entre sectores de la industria y / o naciones. En concreto. en diferentes sectores de la industria y con los gobiernos. por todos los medios bajar la versión MS Word en la zona del Fórum archivos. . La guía explica vista de ISACA de la forma en que los auditores deben auditar el SGSI.Técnicas de seguridad Gestión de Seguridad de la Información para las comunicaciones entre los sectores y entre organizaciones Introducción Esta norma proporciona orientación en relación con el intercambio de información sobre los riesgos de seguridad de la información. La guía se distribuye bajo una licencia Creative Commons como un servicio público a los auditores ISMS y revisores. ya sea en tiempos de crisis y para proteger las infraestructuras críticas o para el reconocimiento mutuo en circunstancias normales de trabajo para cumplir con reglamentación legal. menciona un SGSI ISO27k. y de las obligaciones contractuales. si usted pertenece al Foro . La divulgación de información inicial y el conocimiento sobre la situación actual antes de la formalización de los acuerdos. a las víctimas y las organizaciones implicadas). cuando las empresas privadas. Estos intercambios de información suelen ocurrir en un ambiente muy cargado y estresante bajo intensas presiones de tiempo . ej. por supuesto. la comunicación y la colaboración. Las fuentes de información pueden necesitar ser protegidos por permanecer en el anonimato. la siguiente lista genérica de posibles problemas de seguridad o da una idea de la amplia serie de cuestiones que tal vez sea necesario tener en cuenta lo siguiente: El establecimiento de criterios generales a los aspectos de seguridad de información del proceso (p. por ejemplo. controles. la naturaleza de los incidentes. . dependerá de las características específicas de la situación particular en cuestión (por ejemplo.Finalidad y justificación A veces es necesario compartir información confidencial sobre las amenazas.apenas el ambiente más propicio para el establecimiento de relaciones de trabajo de confianza y acordar adecuados controles de seguridad de información. por ejemplo. entre organizaciones dispares. las vulnerabilidades de seguridad de información y / o incidentes entre o dentro de una comunidad de organizaciones. Las relaciones de confianza con otras organizaciones que también pueden estar involucrados (por ej. Si las comunicaciones se realizan a través de algún tipo de agencia) o son de alguna manera dibujado en la situación. un deber legal o de otro tipo. Tal información es a menudo muy sensible y puede ser necesario. los protagonistas. con el fin de solicitar al beneficiario / s de considerar su papel y para la exposición de las partes a considerar los riesgos involucrados en la divulgación de información. modelos. Los riesgos y controles asociados con el intercambio de información de esta manera Si bien los riesgos reales de información de seguridad derivados de la puesta en común de información sobre incidentes de seguridad de la información. junto con actividades de formación y sensibilización para los involucrados en el proceso. La norma debe ayudar a trazar normas básicas comunes de seguridad. estar restringida a ciertos individuos dentro de las organizaciones receptoras. Escribir y aplicación de políticas y procedimientos. políticas. etc. los gobiernos. Confía en las relaciones entre las organizaciones directamente interesadas. evaluación y resolución de graves ataques cibernéticos panorganizacionales e internacionales a menudo o pan-jurisdiccional. procesos. 27002 y 27005 ). la policía y los organismos de tipo CERT-están colaborando en la investigación. La norma proporciona orientación sobre los métodos. protocolos y otros mecanismos para el intercambio de información de forma segura con contrapartes de confianza en la inteligencia de que importantes principios de seguridad de la información será respetada. incluidos los socios de negocios y aquellos que pueden tener que ser informado o participado en el proceso. y posiblemente confirmar la evaluación independiente o t auditorías que las medidas se ajustan a la norma ISO / IEC 27010 y / o otras normas aplicables ISO27k tales como 27001 . Toda limitación de las revelaciones posteriores a los incidentes como los informes de gestión de incidentes. dañados. análisis y presentación de evidencia forense. lo que lleva a una mayor confianza y fuertes medidas de seguridad para situaciones futuras. Determinar y declarar o definir los requisitos específicos de seguridad de la información (implica algún tipo de análisis de riesgos de seguridad de información de las partes que describen con seguridad.). Comunicar los riesgos de seguridad y los requisitos de control. cuya existencia y contenido también puede ser confidencial. modificados o no puesto en duda deliberadamente por un tercero o por medio de controles inadecuados y errores . tales como la imposición de sanciones. repudiada. evitando que sea enviado a las contrapartes equivocadas.. Versión controles y la autorización apropiada tanto para la divulgación y aceptación de la información valiosa. almacenamiento. obligaciones. expectativas o pasivos sin ambigüedades (por ejemplo. duplicarse. utilizando un léxico mutuamente entendido de términos basados en ISO27k y clasificaciones comparables de información. interceptado. Evaluar y aceptar los riesgos de seguridad y obligaciones (por ejemplo. La mejora de procesos sistemáticos. la confianza está fuera de lugar o se producen accidentes. si las promesas se rompen. y tal vez por las partes receptoras). Comunicar información de forma segura (por ejemplo. públicos comunicados de prensa. la seguridad y las actividades conexas.] Estado de la norma ISO / IEC 27010 fue publicado en abril de 2012. en algún tipo de contrato o acuerdo. Los riesgos y los controles relativos a la recopilación. el análisis. manipulación. Cumplimiento y donde las actividades pertinentes de la aplicación. [Nota: la norma publicada no menciona todos estos riesgos de forma explícita. la propiedad.). . Los posibles efectos sobre la obtención. Está disponible para CHF134 desde la tienda web de ISO / IEC . eliminado falseadas. Retrasos inaceptables u otras restricciones sobre el envío de información importante debido a la evaluación de riesgos. etc acción legal. el uso de controles criptográficos adecuados). etc. La protección adecuada de la información y tal vez otros activos confiados a las organizaciones beneficiarias y los individuos. la protección y la divulgación posterior de la información sobre la situación actual de las partes beneficiarias que participan en una investigación (por ejemplo. limitaciones en el uso de la información para fines que no estén directamente relacionados con el incidente en cuestión). Tecnología de la información .ISO / IEC 27011:2008 Tecnología de la información . seguido por traducciones al español. Sistemas de gestión de calidad .Directrices para el uso de los estándares. Se basa en las normas ISMS existentes en ese momento.Código de buenas prácticas para la gestión de información de seguridad (ahora conocida como ISO / IEC 27002 ). gestión de riesgos . Sistemas de gestión ambiental . francés y ruso en 2005. Sistemas de Gestión .Técnicas de seguridad Información de las directrices de gestión de seguridad para las organizaciones de telecomunicaciones basadas en la norma ISO / IEC 27002 Esta guía de implementación del SGSI para el sector de Telecomunicaciones fue desarrollado por la UIT-T y la ISO / IEC JTC1/SC27 y publicado conjuntamente por ambos UIT-T X. Para que las organizaciones de telecomunicaciones para gestionar adecuadamente estos activos de la empresa y para la correcta y . Arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones del CCITT.1051 e ISO / IEC 27011.Especificación con orientación para su uso.: Recomendación UIT-T X. Recomendación UIT-T X. Los estados de resumen: "Para las organizaciones de telecomunicaciones.800 (1991).805 (2003). telecomunicaciones. Arquitectura de seguridad para sistemas de extremo a extremo de la comunicación.Requisitos con orientación para su uso (ahora conocida como ISO / IEC 27001 ). redes y líneas son activos comerciales importantes.Requisitos. es decir.1051 seguridad de la información del sistema de gestión Requisitos para telecomunicaciones (SGSI-T) fue publicado originalmente en Inglés en julio de 2004. Recomendación UIT-T X.Vocabulario . ISO / IEC Guide 73:2002. la información y los procesos de apoyo. ISO 14001:1996. ISO / IEC 17799:2000. ISO 9001:2000. BS 7799-2:2002 Seguridad de la Información. instalaciones. a saber: Directrices de seguridad para la gestión de las organizaciones de telecomunicaciones pequeñas y medianas empresas [X.1051 (ISO / IEC 27011). operar. la gestión de seguridad de la información es extremadamente necesario. SC27 ha confirmado que el estándar será revisado en 2013-2014 (después de la norma ISO / IEC 27002 es revisado y estable). Directrices de gestión de activos [X.amg]: guía de buenas prácticas de gestión de activos para las organizaciones de telecomunicaciones.sgsm]: guía para la aplicación de la gestión de seguridad de información basada en X. Estado de la norma La norma fue publicada en 2008. Esta Recomendación proporciona los requisitos en materia de gestión de seguridad de información para las organizaciones de telecomunicaciones. monitorear.exitosamente continuar con sus actividades de negocio. UIT-T propuso extender la norma ISO / IEC 27011 con dos nuevas partes. mantener y mejorar un sistema de seguridad documentada información de gestión (SGSI) en el contexto de los riesgos del negocio de telecomunicaciones en general. Especifica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de telecomunicaciones o partes de los mismos ". Está disponible para CHF146 desde la tienda web de ISO / IEC . la norma ISO / IEC JTC1/SC27 parece que va a actualizar la norma para reflejar las revisiones de la norma ISO / IEC 27001 y 27002. Mientras tanto. Esta Recomendación especifica los requisitos para establecer. . revisar. implementar.