ISO / IEC 27007:2011 - ISO / IEC 27010:2012 ISO / IEC 27011:2008

ISO / IEC 27007:2011 Tecnologa de la

informacin - Tcnicas de seguridad Directrices para la gestin de los sistemas
de seguridad de la informacin de auditora

ISO / IEC 27010:2012 Tecnologa de la

informacin - Tcnicas de seguridad Gestin de Seguridad de la Informacin
para las comunicaciones entre los sectores
y entre organizaciones

ISO / IEC 27011:2008 Tecnologa de la

informacin - Tcnicas de seguridad Informacin de las directrices de gestin
de seguridad para las organizaciones de
telecomunicaciones basadas en la norma
ISO / IEC 27002

ISO / IEC 27007:2011

Tecnologa de la informacin - Tcnicas de
seguridad - Directrices para la gestin de los
sistemas de seguridad de la informacin de
auditora
Esta norma proporciona orientacin para los organismos de
certificacin acreditados, auditores internos, auditores externos del
partido / tercera SGSI y otros en contra de auditora ISO / IEC 27001
(auditora es decir, el sistema de gestin para el cumplimiento de la
norma).
ISO / IEC 27007 y refleja en gran parte se refiere a la norma ISO
19011 , la norma ISO de calidad y auditora de sistemas de gestin
ambiental - "sistemas de gestin", por supuesto, es el factor comn
que une a los estndares ISO27k. Proporciona adicional SGSI
orientacin especfica.
ISO / IEC 27007 tambin se basa en la norma ISO 17021 Evaluacin
de la Conformidad - Requisitos para los organismos que realizan la
auditora y certificacin de sistemas de gestin y se alinea con la
norma ISO / IEC 27006 , el organismo de certificacin SGSI norma de
acreditacin.
Estructura
La norma abarca los aspectos especficos del SGSI de la auditora de
cumplimiento:

Gestin del programa de auditora de SGSI (determinando qu

auditar, cundo y cmo; asignacin de auditores apropiados, la
gestin de riesgos de auditora, el mantenimiento de registros de
auditora; mejora continua del proceso);
Realizacin de un SGSI MS auditora (proceso de auditora - la
planificacin, conduccin, las principales actividades de auditora,
incluyendo el trabajo de campo, anlisis, reporte y seguimiento-);
Gestin de ISMS auditores (competencias, habilidades, atributos,
evaluacin).
Estado de la norma

La norma fue publicada en noviembre de 2011 y est disponible

para CHF122 de la tienda web de ISO / IEC .
[Por cierto, la norma ISO 19011 fue revisado y reeditado en 2011.
Est disponible para CHF146 desde la tienda web de ISO / IEC .]
Otras directrices para la auditora de SGSI
Aparte de '27007, aqu estn algunas fuentes alternativas /
complementarias de asesoramiento sobre la auditora del SGSI:

El Foro ISO27k desarrollado una Directriz de Auditora de SGSI

como su contribucin a la norma ISO / IEC 27007. La gua se
distribuye bajo una licencia Creative Commons como un servicio
pblico a los auditores ISMS y revisores. Descargue la Auditora libre
SGSI liberacin Directriz 1 en formato PDF aqu o, si usted pertenece
al Foro , por todos los medios bajar la versin MS Word en la zona del
Frum archivos;
ISACA liberado Directriz de Auditora de G40 sobre Revisin de las
prcticas de gestin de seguridad . La gua explica vista de ISACA de
la forma en que los auditores deben auditar el SGSI. En concreto,
menciona un SGSI ISO27k;
Si desea auditar la seguridad de la informacin controla en
comparacin con el sistema de gestin, vase la norma ISO / IEC
27008 .

ISO / IEC 27010:2012

Tecnologa de la informacin - Tcnicas de
seguridad - Gestin de Seguridad de la
Informacin para las comunicaciones entre los
sectores y entre organizaciones
Introduccin
Esta norma proporciona orientacin en relacin con el intercambio de
informacin sobre los riesgos de seguridad de la informacin, los
controles, los problemas y / o incidentes que abarcan los lmites entre
sectores de la industria y / o naciones, en particular las que afectan a
la "infraestructura crtica".
Alcance
ISO / IEC 27010 proporciona una gua sobre seguridad de la
informacin y las comunicaciones interfuncionamiento entre las
industrias en los mismos sectores, en diferentes sectores de la
industria y con los gobiernos, ya sea en tiempos de crisis y para
proteger las infraestructuras crticas o para el reconocimiento mutuo
en circunstancias normales de trabajo para cumplir con
reglamentacin legal, y de las obligaciones contractuales.
Finalidad y justificacin
A veces es necesario compartir informacin confidencial sobre las
amenazas, las vulnerabilidades de seguridad de informacin y / o
incidentes entre o dentro de una comunidad de organizaciones, por
ejemplo, cuando las empresas privadas, los gobiernos, la polica y los
organismos de tipo CERT-estn colaborando en la investigacin,
evaluacin y resolucin de graves ataques cibernticos panorganizacionales e internacionales a menudo o pan-jurisdiccional. Tal
informacin es a menudo muy sensible y puede ser necesario, por
ejemplo, estar restringida a ciertos individuos dentro de las
organizaciones receptoras. Las fuentes de informacin pueden
necesitar ser protegidos por permanecer en el anonimato. Estos
intercambios de informacin suelen ocurrir en un ambiente muy

cargado y estresante bajo intensas presiones de tiempo - apenas el

ambiente ms propicio para el establecimiento de relaciones de
trabajo de confianza y acordar adecuados controles de seguridad de
informacin. La norma debe ayudar a trazar normas bsicas comunes
de seguridad.
La norma proporciona orientacin sobre los mtodos, modelos,
procesos, polticas, controles, protocolos y otros mecanismos para el
intercambio de informacin de forma segura con contrapartes de
confianza en la inteligencia de que importantes principios de
seguridad de la informacin ser respetada.
Los riesgos y controles asociados con el intercambio de
informacin de esta manera
Si bien los riesgos reales de informacin de seguridad derivados de la
puesta en comn de informacin sobre incidentes de seguridad de la
informacin, etc. entre organizaciones dispares, por supuesto,
depender de las caractersticas especficas de la situacin particular
en cuestin (por ejemplo, la naturaleza de los incidentes, los
protagonistas, a las vctimas y las organizaciones implicadas), la
siguiente lista genrica de posibles problemas de seguridad o da una
idea de la amplia serie de cuestiones que tal vez sea necesario tener
en cuenta lo siguiente:

El establecimiento de criterios generales a los aspectos de seguridad

de informacin del proceso (p. ej. Escribir y aplicacin de polticas y
procedimientos, junto con actividades de formacin y sensibilizacin
para los involucrados en el proceso, y posiblemente confirmar la
evaluacin independiente o t auditoras que las medidas se ajustan a
la norma ISO / IEC 27010 y / o otras normas aplicables ISO27k tales
como 27001 , 27002 y 27005 );
La divulgacin de informacin inicial y el conocimiento sobre la
situacin actual antes de la formalizacin de los acuerdos, con el fin
de solicitar al beneficiario / s de considerar su papel y para la
exposicin de las partes a considerar los riesgos involucrados en la
divulgacin de informacin;

Confa en las relaciones entre las organizaciones directamente

interesadas, la comunicacin y la colaboracin;

Las relaciones de confianza con otras organizaciones que tambin

pueden estar involucrados (por ej. Si las comunicaciones se realizan a
travs de algn tipo de agencia) o son de alguna manera dibujado en
la situacin, incluidos los socios de negocios y aquellos que pueden

tener que ser informado o participado en el proceso, un deber legal o

de otro tipo;

Determinar y declarar o definir los requisitos especficos de seguridad

de la informacin (implica algn tipo de anlisis de riesgos de
seguridad de informacin de las partes que describen con seguridad,
y tal vez por las partes receptoras);

Comunicar los riesgos de seguridad y los requisitos de control,

obligaciones, expectativas o pasivos sin ambigedades (por ejemplo,
utilizando un lxico mutuamente entendido de trminos basados en
ISO27k y clasificaciones comparables de informacin.);

Evaluar y aceptar los riesgos de seguridad y obligaciones (por

ejemplo, en algn tipo de contrato o acuerdo, cuya existencia y
contenido tambin puede ser confidencial.);

Comunicar informacin de forma segura (por ejemplo, el uso de

controles criptogrficos adecuados), evitando que sea enviado a las
contrapartes equivocadas, interceptado, eliminado falseadas,
duplicarse, repudiada, daados, modificados o no puesto en duda
deliberadamente por un tercero o por medio de controles
inadecuados y errores ;

Versin controles y la autorizacin apropiada tanto para la divulgacin

y aceptacin de la informacin valiosa;

Los riesgos y los controles relativos a la recopilacin, el anlisis, la

propiedad, la proteccin y la divulgacin posterior de la informacin
sobre la situacin actual de las partes beneficiarias que participan en
una investigacin (por ejemplo, limitaciones en el uso de la
informacin para fines que no estn directamente relacionados con el
incidente en cuestin);

La proteccin adecuada de la informacin y tal vez otros activos

confiados a las organizaciones beneficiarias y los individuos;

Cumplimiento y donde las actividades pertinentes de la aplicacin,

tales como la imposicin de sanciones, etc. si las promesas se
rompen, la confianza est fuera de lugar o se producen accidentes;

Retrasos inaceptables u otras restricciones sobre el envo de

informacin importante debido a la evaluacin de riesgos, la
seguridad y las actividades conexas;

Los
posibles
efectos
sobre
la
obtencin,
manipulacin,
almacenamiento, anlisis y presentacin de evidencia forense;

Toda limitacin de las revelaciones posteriores a los incidentes como

los informes de gestin de incidentes, pblicos comunicados de
prensa, etc accin legal.;

La mejora de procesos sistemticos, lo que lleva a una mayor

confianza y fuertes medidas de seguridad para situaciones futuras.
[Nota: la norma publicada no menciona todos estos riesgos de forma
explcita.]
Estado de la norma
ISO / IEC 27010 fue publicado en abril de 2012. Est disponible para
CHF134 desde la tienda web de ISO / IEC .

ISO / IEC 27011:2008

Tecnologa de la informacin - Tcnicas de
seguridad - Informacin de las directrices de
gestin de seguridad para las organizaciones de
telecomunicaciones basadas en la norma ISO /
IEC 27002
Esta gua de implementacin del SGSI para el sector de
Telecomunicaciones fue desarrollado por la UIT-T y la ISO / IEC
JTC1/SC27 y publicado conjuntamente por ambos UIT-T X.1051 e ISO
/ IEC 27011.
Recomendacin UIT-T X.1051 seguridad de la informacin del sistema
de gestin - Requisitos para telecomunicaciones (SGSI-T) fue
publicado originalmente en Ingls en julio de 2004, seguido por
traducciones al espaol, francs y ruso en 2005. Se basa en las
normas ISMS existentes en ese momento, es decir.:

Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad para la

interconexin de sistemas abiertos para aplicaciones del CCITT.
Recomendacin UIT-T X.805 (2003), Arquitectura de seguridad para
sistemas de extremo a extremo de la comunicacin.

ISO 9001:2000, Sistemas de gestin de calidad - Requisitos.

ISO 14001:1996, Sistemas de gestin ambiental - Especificacin con

orientacin para su uso.

ISO / IEC 17799:2000, Tecnologa de la informacin - Cdigo de

buenas prcticas para la gestin de informacin de seguridad (ahora
conocida como ISO / IEC 27002 ).

ISO / IEC Guide 73:2002, gestin de riesgos - Vocabulario - Directrices

para el uso de los estndares.

BS 7799-2:2002 Seguridad de la Informacin, Sistemas de Gestin Requisitos con orientacin para su uso (ahora conocida como ISO / IEC
27001 ).
Los estados de resumen:

"Para las organizaciones de telecomunicaciones, la informacin y los

procesos de apoyo, instalaciones, telecomunicaciones, redes y lneas
son activos comerciales importantes. Para que las organizaciones de
telecomunicaciones para gestionar adecuadamente estos activos de
la empresa y para la correcta y exitosamente continuar con sus
actividades de negocio, la gestin de seguridad de la informacin es
extremadamente necesario. Esta Recomendacin proporciona los
requisitos en materia de gestin de seguridad de informacin para las
organizaciones de telecomunicaciones.
Esta Recomendacin especifica los requisitos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un
sistema de seguridad documentada informacin de gestin (SGSI) en
el contexto de los riesgos del negocio de telecomunicaciones en
general. Especifica los requisitos para la aplicacin de controles de
seguridad adaptados a las necesidades de telecomunicaciones o
partes de los mismos ".
UIT-T propuso extender la norma ISO / IEC 27011 con dos nuevas
partes, a saber:

Directrices de seguridad para la gestin de las organizaciones de

telecomunicaciones pequeas y medianas empresas [X.sgsm]: gua
para la aplicacin de la gestin de seguridad de informacin basada
en X.1051 (ISO / IEC 27011);
Directrices de gestin de activos [X.amg]: gua de buenas prcticas
de gestin de activos para las organizaciones de telecomunicaciones.
Mientras tanto, la norma ISO / IEC JTC1/SC27 parece que va a
actualizar la norma para reflejar las revisiones de la norma ISO / IEC
27001 y 27002.
Estado de la norma
La norma fue publicada en 2008. Est disponible para CHF146 desde
la tienda web de ISO / IEC .
SC27 ha confirmado que el estndar ser revisado en 2013-2014
(despus de la norma ISO / IEC 27002 es revisado y estable).