Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Práctica 3 - Normas ISO - IEC 27000
Práctica 3 - Normas ISO - IEC 27000
Profesor:
María Pineda
Estudiante:
Joan Cruz
Matricula:
2022-1955
Fecha de entrega:
18/02/2024
Investigar todas las normas ISO relacionadas con la seguridad informática, incluida
la gestión de incidentes, auditorías y continuidad del negocio, especificar el año de
publicación o de creación, estructura, campo de aplicación, industrias al alcance
de la norma, propósito y elementos relacionados:
Normas ISO:
• ISO/IEC 27001
▪ Año de publicación: 2013
▪ Estructura: 10 cláusulas, con requisitos para un Sistema de Gestión de
Seguridad de la Información (SGSI)
▪ Campo de aplicación: Cualquier organización, independientemente de
su tamaño o sector
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Política de seguridad de la información,
análisis de riesgos, controles de seguridad, gestión de incidentes,
auditorías internas, etc.
• ISO/IEC 27002
▪ Año de publicación: 2022
▪ Estructura: Catálogo de controles de seguridad de la información,
divididos en 4 dominios y 14 categorías
▪ Campo de aplicación: Cualquier organización que desee implementar
controles de seguridad de la información
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Controles de seguridad como gestión de
accesos, seguridad del software, seguridad de las comunicaciones, etc.
• ISO 22301
▪ Año de publicación: 2022
▪ Estructura: Catálogo de controles de seguridad de la información,
divididos en 4 dominios y 14 categorías
▪ Campo de aplicación: Cualquier organización que desee implementar
controles de seguridad de la información
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Controles de seguridad como gestión de
accesos, seguridad del software, seguridad de las comunicaciones, etc.
• ISO/IEC 27035
▪ Año de publicación: 2016
▪ Estructura: Directrices para la gestión de incidentes de seguridad de la
información
▪ Campo de aplicación: Cualquier organización que desee gestionar de
forma eficaz los incidentes de seguridad de la información
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Equipo de respuesta a incidentes, proceso de
gestión de incidentes, herramientas de análisis forense, etc.
• ISO 19011
▪ Año de publicación: 2018
▪ Estructura: Directrices para la auditoría de sistemas de gestión
▪ Campo de aplicación: Cualquier organización que desee realizar
auditorías internas o externas de sus sistemas de gestión
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Programa de auditoría, plan de auditoría,
informe de auditoría, etc.
• ISO/IEC 27005
▪ Año de publicación: 2018
▪ Estructura: Directrices para la gestión del riesgo de la seguridad de la
información
▪ Campo de aplicación: Cualquier organización que desee gestionar el
riesgo de la seguridad de la información
▪ Industrias al alcance: Todas las industrias
▪ Elementos relacionados: Análisis de riesgos, evaluación de riesgos,
tratamiento de riesgos, etc.
Propósitos de las ISO:
➢ ISO/IEC 27001: Es un estándar que establece las normas, requerimientos y
procedimientos para la implementación, mantenimiento y actualización de SGSI,
para eso se utiliza el PDCA: Plan, Do, Check, Act.
➢ ISO 22301: Nos permite establecer los requisitos para un sistema de gestión de
continuidad del negocio.
➢ ISO 19011: Trata sobre la auditoría de los sistemas de gestión, y abarca tanto los
principios de auditoría como la gestión del programa, la realización de la auditoría
y su evaluación.
➢ ISO/IEC 27005: Suministra las directrices para gestionar los riesgos que puede
sufrir la información de una empresa, principalmente se apoya en el ISO/IEC
27001, centrándose en los requisitos de seguridad de la información.