Documentos de Académico
Documentos de Profesional
Documentos de Cultura
tk
AUDITORIA EN SISTEMAS DE
INFORMACION
www.ticalcanze.tk
INTRODUCCIÓN
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
www.ticalcanze.tk Página 1
www.ticalcanze.tk
www.ticalcanze.tk Página 2
www.ticalcanze.tk
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de
una organización, con respecto al desarrollo y mantenimiento de sistemas de
información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles
de madurez. Se puede considerar que CMM es la base de los principios de
evaluación recomendados por COBIT, así como para algunos de los procesos de
administración de COBIT.
www.ticalcanze.tk Página 3
www.ticalcanze.tk
ESTÁNDARES ESPECIFICOS
1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se
certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado
dentro del contexto global de los riesgos de negocio de la organización. Especifica los
requisitos para la implantación de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las mismas
2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e
ISO 9000.
Sus derivados:
ISO 15504-2, modelo de madurez
ISO 15504-3, requisitos para evaluación de procesos
ISO 15504-6, competencia, formación, etc.
Propósito
Evaluación del proceso de Ingeniería
Mejora de proceso de ingeniería
Determinación de capacidades (madurez)
Dirigida a:
Adquiridores
Suministradores
Evaluadores
www.ticalcanze.tk Página 4
www.ticalcanze.tk
3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del
ciclo de vida software, con una terminología bien definida, que puede ser referenciada por
la industria del software”
Tiene como objetivo principal proporcionar una estructura común para que compradores,
proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y
técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene
procesos, actividades y tareas para aplicar durante la adquisición de un sistema que
contiene software, un producto software puro o un servicio software, y durante el
suministro, desarrollo, operación y mantenimiento de productos software.
4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad
de la información. Este estándar internacional de alto nivel para la administración de la
seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto
de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.
www.ticalcanze.tk Página 5
www.ticalcanze.tk
Es importante considerar la forma en que los estándares y las mejores prácticas van
evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las
organizaciones.
CONCLUSIÓN
Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido
aceleradamente en el sector privado, esto es, dado que se han gestado numerosos
proyectos de sistemas de información que han fracasado, y la dura realidad del
incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en
sí, ha habido un incremento dramático en el número de organizaciones en el sector
privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas,
como su estrategia primordial de supervivencia en el mercado.
www.ticalcanze.tk Página 6