ISO / IEC 27007:2011 Tecnología de la

información - Técnicas de seguridad -

Directrices para la gestión de los sistemas
de seguridad de la información de
auditoría
Esta norma proporciona orientación para los organismos de certificación acreditados,
auditores internos, auditores externos del partido / tercera SGSI y otros en contra de
auditoría ISO / IEC 27001 (auditoría es decir, el sistema de gestión para el
cumplimiento de la norma).

ISO / IEC 27007 y refleja en gran parte se refiere a la norma ISO 19011 , la norma ISO
de calidad y auditoría de sistemas de gestión ambiental - "sistemas de gestión", por
supuesto, es el factor común que une a los estándares ISO27k. Proporciona adicional
SGSI orientación específica.

ISO / IEC 27007 también se basa en la norma ISO 17021 Evaluación de la

Conformidad - Requisitos para los organismos que realizan la auditoría y certificación
de sistemas de gestión y se alinea con la norma ISO / IEC 27006 , el organismo de
certificación SGSI norma de acreditación.

Estructura

La norma abarca los aspectos específicos del SGSI de la auditoría de cumplimiento:

 Gestión del programa de auditoría de SGSI (determinando qué auditar, cuándo y

cómo; asignación de auditores apropiados, la gestión de riesgos de auditoría, el
mantenimiento de registros de auditoría; mejora continua del proceso);
 Realización de un SGSI MS auditoría (proceso de auditoría - la planificación,
conducción, las principales actividades de auditoría, incluyendo el trabajo de
campo, análisis, reporte y seguimiento-);
 Gestión de ISMS auditores (competencias, habilidades, atributos, evaluación).

Estado de la norma

La norma fue publicada en noviembre de 2011 y está disponible para CHF122 de la

tienda web de ISO / IEC .

[Por cierto, la norma ISO 19011 fue revisado y reeditado en 2011. Está disponible para
CHF146 desde la tienda web de ISO / IEC .]

Otras directrices para la auditoría de SGSI

Aparte de '27007, aquí están algunas fuentes alternativas / complementarias de

asesoramiento sobre la auditoría del SGSI:
  El Foro ISO27k desarrollado una Directriz de Auditoría de SGSI como su
contribución a la norma ISO / IEC 27007. La guía se distribuye bajo una licencia
Creative Commons como un servicio público a los auditores ISMS y revisores.
Descargue la Auditoría libre SGSI liberación Directriz 1 en formato PDF aquí
o, si usted pertenece al Foro , por todos los medios bajar la versión MS Word
en la zona del Fórum archivos;
 ISACA liberado Directriz de Auditoría de G40 sobre Revisión de las prácticas
de gestión de seguridad . La guía explica vista de ISACA de la forma en que los
auditores deben auditar el SGSI. En concreto, menciona un SGSI ISO27k;
 Si desea auditar la seguridad de la información controla en comparación con el
sistema de gestión, véase la norma ISO / IEC 27008 .

ISO / IEC 27010:2012 Tecnología de la

información - Técnicas de seguridad -
Gestión de Seguridad de la Información
para las comunicaciones entre los
sectores y entre organizaciones
Introducción

Esta norma proporciona orientación en relación con el intercambio de información

sobre los riesgos de seguridad de la información, los controles, los problemas y / o
incidentes que abarcan los límites entre sectores de la industria y / o naciones, en
particular las que afectan a la "infraestructura crítica".

Alcance

ISO / IEC 27010 proporciona una guía sobre seguridad de la información y las
comunicaciones interfuncionamiento entre las industrias en los mismos sectores, en
diferentes sectores de la industria y con los gobiernos, ya sea en tiempos de crisis y para
proteger las infraestructuras críticas o para el reconocimiento mutuo en circunstancias
normales de trabajo para cumplir con reglamentación legal, y de las obligaciones
contractuales.
Finalidad y justificación

A veces es necesario compartir información confidencial sobre las amenazas, las

vulnerabilidades de seguridad de información y / o incidentes entre o dentro de una
comunidad de organizaciones, por ejemplo, cuando las empresas privadas, los
gobiernos, la policía y los organismos de tipo CERT-están colaborando en la
investigación, evaluación y resolución de graves ataques cibernéticos pan-
organizacionales e internacionales a menudo o pan-jurisdiccional. Tal información es a
menudo muy sensible y puede ser necesario, por ejemplo, estar restringida a ciertos
individuos dentro de las organizaciones receptoras. Las fuentes de información pueden
necesitar ser protegidos por permanecer en el anonimato. Estos intercambios de
información suelen ocurrir en un ambiente muy cargado y estresante bajo intensas
presiones de tiempo - apenas el ambiente más propicio para el establecimiento de
relaciones de trabajo de confianza y acordar adecuados controles de seguridad de
información. La norma debe ayudar a trazar normas básicas comunes de seguridad.

La norma proporciona orientación sobre los métodos, modelos, procesos, políticas,

controles, protocolos y otros mecanismos para el intercambio de información de forma
segura con contrapartes de confianza en la inteligencia de que importantes principios de
seguridad de la información será respetada.

Los riesgos y controles asociados con el intercambio de información de

esta manera

Si bien los riesgos reales de información de seguridad derivados de la puesta en común

de información sobre incidentes de seguridad de la información, etc. entre
organizaciones dispares, por supuesto, dependerá de las características específicas de la
situación particular en cuestión (por ejemplo, la naturaleza de los incidentes, los
protagonistas, a las víctimas y las organizaciones implicadas), la siguiente lista genérica
de posibles problemas de seguridad o da una idea de la amplia serie de cuestiones que
tal vez sea necesario tener en cuenta lo siguiente:

 El establecimiento de criterios generales a los aspectos de seguridad de

información del proceso (p. ej. Escribir y aplicación de políticas y
procedimientos, junto con actividades de formación y sensibilización para los
involucrados en el proceso, y posiblemente confirmar la evaluación
independiente o t auditorías que las medidas se ajustan a la norma ISO / IEC
27010 y / o otras normas aplicables ISO27k tales como 27001 , 27002 y 27005
);
 La divulgación de información inicial y el conocimiento sobre la situación actual
antes de la formalización de los acuerdos, con el fin de solicitar al beneficiario /
s de considerar su papel y para la exposición de las partes a considerar los
riesgos involucrados en la divulgación de información;
 Confía en las relaciones entre las organizaciones directamente interesadas, la
comunicación y la colaboración;
 Las relaciones de confianza con otras organizaciones que también pueden estar
involucrados (por ej. Si las comunicaciones se realizan a través de algún tipo de
agencia) o son de alguna manera dibujado en la situación, incluidos los socios de
negocios y aquellos que pueden tener que ser informado o participado en el
proceso, un deber legal o de otro tipo;
  Determinar y declarar o definir los requisitos específicos de seguridad de la
información (implica algún tipo de análisis de riesgos de seguridad de
información de las partes que describen con seguridad, y tal vez por las partes
receptoras);
 Comunicar los riesgos de seguridad y los requisitos de control, obligaciones,
expectativas o pasivos sin ambigüedades (por ejemplo, utilizando un léxico
mutuamente entendido de términos basados en ISO27k y clasificaciones
comparables de información.);
 Evaluar y aceptar los riesgos de seguridad y obligaciones (por ejemplo, en algún
tipo de contrato o acuerdo, cuya existencia y contenido también puede ser
confidencial.);
 Comunicar información de forma segura (por ejemplo, el uso de controles
criptográficos adecuados), evitando que sea enviado a las contrapartes
equivocadas, interceptado, eliminado falseadas, duplicarse, repudiada, dañados,
modificados o no puesto en duda deliberadamente por un tercero o por medio de
controles inadecuados y errores ;
 Versión controles y la autorización apropiada tanto para la divulgación y
aceptación de la información valiosa;
 Los riesgos y los controles relativos a la recopilación, el análisis, la propiedad, la
protección y la divulgación posterior de la información sobre la situación actual
de las partes beneficiarias que participan en una investigación (por ejemplo,
limitaciones en el uso de la información para fines que no estén directamente
relacionados con el incidente en cuestión);
 La protección adecuada de la información y tal vez otros activos confiados a las
organizaciones beneficiarias y los individuos;
 Cumplimiento y donde las actividades pertinentes de la aplicación, tales como la
imposición de sanciones, etc. si las promesas se rompen, la confianza está fuera
de lugar o se producen accidentes;
 Retrasos inaceptables u otras restricciones sobre el envío de información
importante debido a la evaluación de riesgos, la seguridad y las actividades
conexas;
 Los posibles efectos sobre la obtención, manipulación, almacenamiento, análisis
y presentación de evidencia forense;
 Toda limitación de las revelaciones posteriores a los incidentes como los
informes de gestión de incidentes, públicos comunicados de prensa, etc acción
legal.;
 La mejora de procesos sistemáticos, lo que lleva a una mayor confianza y fuertes
medidas de seguridad para situaciones futuras.

[Nota: la norma publicada no menciona todos estos riesgos de forma explícita.]

Estado de la norma

ISO / IEC 27010 fue publicado en abril de 2012. Está disponible para CHF134 desde la
tienda web de ISO / IEC .
ISO / IEC 27011:2008 Tecnología de la
información - Técnicas de seguridad -
Información de las directrices de gestión
de seguridad para las organizaciones de
telecomunicaciones basadas en la norma
ISO / IEC 27002
Esta guía de implementación del SGSI para el sector de Telecomunicaciones fue
desarrollado por la UIT-T y la ISO / IEC JTC1/SC27 y publicado conjuntamente por
ambos UIT-T X.1051 e ISO / IEC 27011.

Recomendación UIT-T X.1051 seguridad de la información del sistema de gestión -

Requisitos para telecomunicaciones (SGSI-T) fue publicado originalmente en Inglés en
julio de 2004, seguido por traducciones al español, francés y ruso en 2005. Se basa en
las normas ISMS existentes en ese momento, es decir.:

 Recomendación UIT-T X.800 (1991), Arquitectura de seguridad para la

interconexión de sistemas abiertos para aplicaciones del CCITT.
 Recomendación UIT-T X.805 (2003), Arquitectura de seguridad para sistemas
de extremo a extremo de la comunicación.
 ISO 9001:2000, Sistemas de gestión de calidad - Requisitos.
 ISO 14001:1996, Sistemas de gestión ambiental - Especificación con orientación
para su uso.
 ISO / IEC 17799:2000, Tecnología de la información - Código de buenas
prácticas para la gestión de información de seguridad (ahora conocida como ISO
/ IEC 27002 ).
 ISO / IEC Guide 73:2002, gestión de riesgos - Vocabulario - Directrices para el
uso de los estándares.
 BS 7799-2:2002 Seguridad de la Información, Sistemas de Gestión - Requisitos
con orientación para su uso (ahora conocida como ISO / IEC 27001 ).

Los estados de resumen:

"Para las organizaciones de telecomunicaciones, la información y los procesos

de apoyo, instalaciones, telecomunicaciones, redes y líneas son activos
comerciales importantes. Para que las organizaciones de telecomunicaciones
para gestionar adecuadamente estos activos de la empresa y para la correcta y
 exitosamente continuar con sus actividades de negocio, la gestión de seguridad
de la información es extremadamente necesario. Esta Recomendación
proporciona los requisitos en materia de gestión de seguridad de información
para las organizaciones de telecomunicaciones.

Esta Recomendación especifica los requisitos para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar un sistema de seguridad
documentada información de gestión (SGSI) en el contexto de los riesgos del
negocio de telecomunicaciones en general. Especifica los requisitos para la
aplicación de controles de seguridad adaptados a las necesidades de
telecomunicaciones o partes de los mismos ".

UIT-T propuso extender la norma ISO / IEC 27011 con dos nuevas partes, a saber:

 Directrices de seguridad para la gestión de las organizaciones de

telecomunicaciones pequeñas y medianas empresas [X.sgsm]: guía para la
aplicación de la gestión de seguridad de información basada en X.1051 (ISO /
IEC 27011);
 Directrices de gestión de activos [X.amg]: guía de buenas prácticas de gestión
de activos para las organizaciones de telecomunicaciones.

Mientras tanto, la norma ISO / IEC JTC1/SC27 parece que va a actualizar la norma para
reflejar las revisiones de la norma ISO / IEC 27001 y 27002.

Estado de la norma

La norma fue publicada en 2008. Está disponible para CHF146 desde la tienda web de
ISO / IEC .

SC27 ha confirmado que el estándar será revisado en 2013-2014 (después de la norma

ISO / IEC 27002 es revisado y estable).