AENOR 12 LOS DATOS ANEXO I ISO 27001:2005. Dominio • Política de Seguridad • Aspectos organizativos de la seguridad de la información • Gestión de Activos • Seguridad ligada a los RRHH • Seguridad física y ambiental • Gestión de comunicaciones y operaciones • Control de acceso • Adquisición, desarrollo y mantenimiento de los sistemas de información • Gestión de incidentes de seguridad de la información • Gestión de la continuidad de negocio • Cumplimiento a través de más de 700 entrevistas a ejecutivos de Estados Unidos, Francia, Alemania, Italia, Japón y Reino Unido sobre la valoración de riesgos econó-micos, ambientales, geopolíticos, so-ciales y tecnológicos. Según el estudio, los riesgos tecnológicos son de máxi-ma prioridad siendo los tres más iden-tificados: fraude, robo de información y de datos; daños o pérdidas de infor-mación de las infraestructuras críticas, y ciberataques. Para afrontar este reto, más de 22.000 organizaciones de 105 países confían en la Norma ISO 27001 de Sis-temas de Gestión de Seguridad de la Información como herramienta eficaz • Políticas de Seguridad de la Información • Organización de la seguridad de la información • Seguridad relativa a los RRHH • Gestión de activos • Control de acceso • Criptografía • Seguridad física y del entorno • Seguridad en las operaciones • Seguridad en las comunicaciones • Adquisición, desarrollo y mantenimiento de los sistemas de información • Relación con proveedores • Gestión de incidentes de seguridad de la información • Aspectos de seguridad de la información en continuidad de negocio • Cumplimiento que les ayuda a implantar los contro-les adecuados. Publicada por primera vez en 2005, esta norma fue revisada el pasado año, teniendo en cuenta las experiencias de quienes la vienen uti-lizando desde entonces, y acaba de adoptarse como norma española. La Asociación Española de Empresas de Electrónica, Tecnologías de la Infor-mación y Comunicación (AMETIC), en un reciente estudio sobre la ISO 27001, destaca la satisfacción y la alta valora-ción de las direcciones generales, per-sonal, clientes y proveedores de aque-llas empresas que han implantado y actualmente mantienen el Sistema de Gestión de Seguridad de la Informa-ción según la Norma ISO/IEC 27001. Novedades La nueva versión de la norma adop-ta la llamada Estructura de Alto Nivel utilizada en todas las normas de siste-mas de gestión, lo que facilita su inte-gración con otros sistemas, como ca-lidad, medio ambiente o seguridad y salud en el trabajo, de forma más sen-cilla. De acuerdo con esta estructura, la UNE-ISO/IEC 27001:2014 pide a las organizaciones que profundicen más su conocimiento sobre el contexto en el que operan y las necesidades de las partes interesadas. Igualmente, otor-ga mayor importancia a la definición de objetivos de seguridad. La norma identifica áreas o dominios a los que asocia uno o varios objetivos de segu-ridad. A su vez, por cada objetivo se definen uno o más controles de segu-ridad cuya implantación debe tradu-cirse en la consecución del objetivo de seguridad asociado. Otra de las dife-rencias frente a la versión anterior es que la norma refuerza la mejora con-tinua, basándose en un ciclo de pla-nificación, ejecución, monitorización y mejora donde el ciclo PDCA encaja perfectamente. El Sistema de Gestión de Seguridad de la Información sigue en la línea de preservar la confidencialidad, integri-dad y disponibilidad de los procesos Tabla 1.Comparativa del número de controles por dominio UNE-ISO/IEC 27001 TOTAL CONTROLES Total 2 11 5 9 13 32 25 16 5 5 10 133 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 ANEXO I ISO 27001:2013. Dominio TOTAL CONTROLES Total A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 2 7 6 10 14 2 15 14 7 13 5 7 4 8 114
298
To see the actual publication please follow the link above