Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe Auditoria Interna de Un SGSI
Informe Auditoria Interna de Un SGSI
El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology Security techniques - Information security management systems - Requirements) fue
aprobado y publicado como estndar internacional en Octubre de 2005 por International
Organization for Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de
Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y
tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin
britnica, la [British Standards Institution] (BSI).
* 1 Evolucin
* 2 Implantacin
* 3 Certificacin
* 4 La Serie 27000
* 5 Referencias
* 6 Para quin es significativo?
* 7 Ejemplos de auditorias realizadas con esta ISO.
* 8 BIBLIOGRAFIA
1Evolucion
Espaa En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas
de Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el comit
tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica British Standard BS
7799-2:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de
estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
2-Implantacion
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una
duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a
estar sometido al Sistema de Gestin de la Seguridad de la Informacin ( en adelante SGSI)
elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de
informacin y sus procesos de trabajo a las exigencias de las normativas legales de
proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el
ms importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley
Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la
seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de todas las
reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y
asesorado por consultores externos especializados en seguridad informtica, derecho de las
nuevas tecnologas, proteccin de datos (que hayan realizado un mster o curso de
especializacin en la materia) y sistemas de gestin de seguridad de la informacin (que
hayan realizado un curso de implantador de SGSI).
3- Certificacion