Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Iso Iec 27031

    Cargado por

    Amelida Verdugo Cabrera
    357 vistas6 páginas

    Título original

    ISO IEC 27031

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    357 vistas6 páginas

    Iso Iec 27031

    Cargado por

    Amelida Verdugo Cabrera

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    27031:2011 Tecnología de la información ISO / IEC - Técnicas de

    seguridad - Directrices para la información y las comunicaciones


    preparación tecnológica para la continuidad del negocio.

    Introducción

    ISO / IEC 27031 proporciona orientación sobre los conceptos y los principios
    detrás del papel de la tecnología de las comunicaciones para asegurar la
    continuidad del negocio y la información.

    El estándar:

    Sugiere una estructura o marco (en realidad un conjunto de métodos y


    procesos) para cualquier organización - privadas, gubernamentales y no
    gubernamentales.

    Identifica y especifica todos los aspectos pertinentes, incluidos los criterios


    de rendimiento, diseño y detalles de implementación, para mejorar la
    preparación para las TIC en el marco del SGSI de la organización, ayudando
    a asegurar la continuidad del negocio.

    Permite a una organización para medir su continuidad TIC, la seguridad y por


    lo tanto dispuestos a sobrevivir a un desastre de una manera consistente y
    reconocidas.
    Ámbito de aplicación y objetivo

    La norma abarca todos los eventos e incidentes (no sólo la seguridad de la


    información relacionada) que podrían tener un impacto en la infraestructura y
    los sistemas de TIC. Por lo tanto, se extiende a las prácticas de seguridad de
    la información y el manejo de la gestión de incidentes, la planificación y los
    servicios de preparación de TIC.

    Preparación TIC para la Continuidad del Negocio (RBC) [un término general
    para los procesos descritos en la norma ] apoya Gestión de la Continuidad
    del Negocio (BCM ) " al asegurar que los servicios de las TIC son tan
    resistentes como adecuada y puede ser recuperado a los niveles pre -
    determinados en los plazos requerido y acordado por la organización".

    Disposición TIC es importante para los propósitos de continuidad de


    negocio debido a que:

    Las TIC son organizaciones prevalentes y muchos son altamente


    dependientes de TIC al servicio de los procesos de negocio críticos;
    Las TIC también apoya incidente, la continuidad del negocio , los desastres y
    la respuesta de emergencia, y los procesos de gestión relacionados ;
    Planificación de continuidad de negocios está incompleta sin tener en cuenta
    y proteger adecuadamente la disponibilidad y continuidad de TIC.
    Disposición TIC abarca:

    Preparación de las TIC de la organización ( es decir, la infraestructura de TI ,


    el funcionamiento y las aplicaciones ), así como los procesos y las personas
    asociadas , en contra de acontecimientos imprevisibles que podrían cambiar
    el entorno de riesgo y de impacto de las TIC y de la continuidad del negocio ;
    Aprovechamiento y racionalizar los recursos entre la continuidad del
    negocio , recuperación de desastres , respuesta de emergencia y respuesta
    a incidentes de seguridad TIC y las actividades de gestión.
    Disposición TIC debe , por supuesto, reducir el impacto ( es decir, el alcance,
    la duración y / o consecuencias ) de los incidentes de seguridad de la
    información en la organización.

    La norma incorpora el enfoque cíclico Deming PDCA amado de ISO 9000 ,


    ampliando el proceso de planificación de la continuidad del negocio
    convencional para tener más en cuenta las TIC. Incorpora ' modos de fallo de
    escenarios de evaluación ", como FMEA ( Modo de Falla y Análisis de
    Efectos ) , con un enfoque en la identificación de " sucesos desencadenantes
    "que podría precipitar los incidentes más o menos graves .

    El equipo de 27 SC responsable de ISO / IEC 27031 se puso en contacto con


    el técnico ISO 233 Comité para la continuidad del negocio, para asegurar la
    alineación y evitar solapamientos o conflictos. La FCD aconsejó: " Si una
    organización está utilizando ISO / IEC 27001 para establecer un sistema de
    Gestión de Seguridad de la Información ( SGSI ) , y / o el uso de ISO
    2239PAS o ISO 23301 para establecer sistema de gestión de continuidad del
    negocio ( BCMS ) , el establecimiento de iRBC debería tener preferencia en
    cuenta los procesos existentes o previstos vinculados a estas normas. Esta
    vinculación puede apoyar el establecimiento de iRBC y evitar procesos
    duales para la organización".

    Estado de la norma

    ISO / IEC 27031 fue originalmente destinado a ser un estándar de varias


    partes, pero esto fue cambiado a dos partes ( una especificación formal ,
    más un guía ) y finalmente reducido a una sola parte ( sólo el guía ) que se
    publicó en marzo de 2011.

    Una norma ISO / IEC en la recuperación de desastres TIC ha sido lanzado


    como ISO / IEC 24762:2008 , fuera de la familia ISO27k . Para obtener más
    información, consulte la página de otras normas.

    ISO TC233 está trabajando en otras normas de continuidad de negocio,


    como ISO 22301.

    la principal preocupación es que a nivel de seguridad de la información,


    permita hacer las labores de prevenir, evitar o al menos reducir la
    probabilidad de incidentes que afectan a los activos de información . En su
    mayoría están destinados a trabajar antes de los incidentes. Ellos están bien
    servidos por el ISO27k y otras normas.

    Controles de gestión de incidentes y crisis abarcan el período para-


    incidente. Ellos también están muy bien cubiertos por ISO27k y otras
    normas. Resiliencia controla el trabajo en este periodo de tiempo también,
    garantizar que las operaciones de negocio vitales no son sustancialmente
    degradado o detenido por los incidentes, pero hasta que esta norma fue
    puesto en libertad, que no han sido bien cubiertas por ISO27k.
    Personalmente, creo que hay mucho más que decir acerca de la resistencia.
    Esta norma no va lo suficientemente lejos en ese aspecto. No estoy seguro
    de si la norma ISO 22301, incluso menciona la palabra, la resiliencia.

    Recuperación de Desastres controles entran en vigor después de los


    incidentes, por lo general un poco más tarde, cuando fracasaron o
    seriamente degradados sistemas de TIC, servicios, procesos de negocios,
    etc están bootstrapped. El período comprendido entre los desastres y la
    recuperación puede causar serios problemas para las organizaciones
    interesadas: en el peor de los casos , no pueden sobrevivir. DR ha sido
    azotado a la muerte por las normas anteriores en la medida en que el DR ,
    en lugar de la evitación / prevención y de resiliencia, a menudo se considera
    el control principal para los desastres . Eso es sencillamente malo para mí.
    En lo que a mí respecta, se trata de la gestión de DR discontinuidad
    BIBLIOGRAFIA

    http://www.iso27001security.com/html/27031.html

    También podría gustarte