ISO 27000

De Glosario Médico-IT-Administración para Hospitales
Saltar a: navegación, buscar

Nota: Si quieres contribuir a hacer crecer este glosario, te invitamos a agregar las palabras y definiciones que le puedan ayudar a la comunidad de innovadores de salud. Por favor:

  • Agrega la palabra y su definición en orden alfabético.
  • Agrega la fuente de donde obtuviste la definición al final de la página y agrega el número de la misma al final de la nueva definición.

Iniciativa de Hacking Health Monterrey


ISO 27000

ISO 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

El ISO-27000 se encuentra basado en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por: ISMS(Information Security Management System), valoración de riesgo, controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

  • ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.
  • ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
  • ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
  • ISO 27003: Contiene una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
  • ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
  • ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basa en la BS7799-3 (publicada en Marzo de 2006) e ISO 13335-3.
  • ISO 27006: Esta especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Referencia

1 .S.A. (2016). Estandares ISO 27000. Seguridad Informatica UNAM. Recuperado de: http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php