La norma ISO 27002 es un estándar para la seguridad de la información que ha sido publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente de este estándar es de 2013.
Esta norma proporciona a todos los interesados diferentes prácticas en la gestión de la seguridad de la información. Está enfocada principalmente a empresas y se encuentra organizada en 14 dominios, 35 objetivos de control y 114 controles. Estos son los dominios:
- Políticas de Seguridad de la Información
- Organización de la Seguridad de la Información
- Seguridad relativa a los Recursos Humanos
- Gestión de Activos
- Control de acceso
- Criptografía
- Seguridad física y del entorno
- Seguridad de las operaciones
- Seguridad de las comunicaciones
- Adquisiciones, desarrollo y mantenimiento de los Sistemas de Información
- Relación de proveedores
- Gestión de Incidentes de Seguridad de la Información
- Aspectos de Seguridad de la Información para la gestión de la Continuidad de Negocio
- Cumplimiento
Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013 :
La mayor diferencia se da en la estructura; la versión de 2005 tenía 11 dominios y la actual tiene 14.
A pesar de que el nuevo estándar tiene tres secciones más, es más corto y centrado que el de 2005; este último tenía 106 páginas mientras que el nuevo cuenta con 78 páginas.
ISO IEC 27002 2013 también tiene varias subsecciones nuevas, como por ejemplo gestión de activos; instalación de software; evaluación de los eventos de seguridad; planificación, implementación y verificación de la continuidad de la seguridad de la información, etc…
Para terminar, la mayoría de las secciones se han reescrito y trasladado a otras secciones; de igual manera que han cambiado algunos términos que ambos estándares contenían.
No hay comentarios:
Publicar un comentario