ISO 27000

La nueva serie ISO 27000 es una familia de estndares internacionales para Sistemas de Gestin de
la Seguridad de la Informacin (SGSI), ue propone reuerimientos de sistemas de gestin de
seguridad de la informacin, gestin de riesgo, m!tricas " medidas, gu#as de implantacin,
voca$ulario " me%ora continua&
'n fase de desarrollo( su fec)a prevista de pu$licacin es el a*o 200+& ,ontendr t!rminos "
definiciones ue se emplean en toda la serie 27000& La aplicacin de cualuier estndar necesita de
un voca$ulario claramente definido, ue evite distintas interpretaciones de conceptos t!cnicos " de
gestin& 'sta norma est previsto ue sea gratuita, a diferencia de las dems de la serie, ue tienen-
tendrn un coste&
La serie contiene las me%ores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar " mantener 'specificaciones para los Sistemas de Gestin de la Seguridad
de la Informacin (SGSI)& La ma"or#a de estas normas se encuentran en preparacin&
ISO.I', 27000 es un con%unto de estndares desarrollados -o en fase de desarrollo- por ISO
(International Organi/ation for Standardi/ation) e I', (International 'lectrotec)nical
,ommission), ue proporcionan un marco de gestin de la seguridad de la informacin utili/a$le
por cualuier tipo de organi/acin, p0$lica o privada, grande o peue*a&
La informacin es un activo vital para el !1ito " la continuidad en el mercado de cualuier
organi/acin, por lo ue el aseguramiento de dic)a informacin " de los sistemas ue la procesan
)a de ser un o$%etivo de primer nivel para la organi/acin&
2ara la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema ue
a$orde esta tarea de forma metdica, documentada " $asada en unos o$%etivos claros de seguridad
" una evaluacin de los riesgos a los ue est sometida la informacin de la organi/acin&
ISO/IEC 27007 GUA PARA AUDITAR
ISO 27007 forma parte de la familia de normas del Sistema de Gestin de Seguridad de la
Informacin 3 SGSI 3&
La norma suministra una gu#a para las entidades acreditadas de certificacin para auditar SGSI&
ISO-27007 refle%a en gran parte a la norma ISO 4+004 (estndar de auditor#a para sistemas de
gestin de la calidad " medioam$iental)& Se encarga de aportar orientacin adicional al SGSI&
2or otro lado tam$i!n se $asa en ISO 17021, 'valuacin de la conformidad&
'l estndar acoge5
La gestin del programa de auditor#a del SGSI5 esta$lecer u!, cundo " cmo se de$e
auditar, asignar auditores apropiados, gestionar los riesgos de auditor#a, mantenimiento de
los registros de la misma, me%ora continua del proceso6
'%ecucin de la auditor#a relativa al SGSI, !sta inclu"e el proceso de auditor#a, la
planificacin, la reali/acin de actividades clave, tra$a%o de campo, anlisis, presentacin
de informes " seguimiento&
Gestin de los auditores del SGSI5 competencias, atri$utos, )a$ilidades, evaluacin6
'sta gu#a tiene los siguientes fines5
,onfirmar ue los controles de seguridad de la informacin mitigan de forma correcta los
riesgos de la organi/acin&
7erificar ue los controles de seguridad en relacin con la conta$ilidad general o de los
sistemas " procesos de contratacin son correctas para ue los auditores corro$oren los
datos&
8atificar ue las o$ligaciones contractuales de los proveedores son satisfactorias en
relacin a la seguridad de la informacin&
8evisar por la direccin, sin olvidar las operaciones rutinarias ue forman parte del SGSI
de una organi/acin, para asegurarnos ue todo est en orden&
9uditar tras incidentes de seguridad de la informacin como parte del anlisis " generar
acciones correctivas&
)ttp5..es&scri$d&com.doc.4:;:70;:.,o$it-Guias-de-9uditoria