miércoles, 30 de septiembre de 2015

ISO/IEC TR 27008:2011 Controles de seguridad de información

ISO/IEC TR 27008: 2011 proporciona orientación sobre la revisión de la implementación y operación de los controles, incluyendo la comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de información de una organización.

ISO/IEC TR 27008: 2011 se aplica a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y sin fines de lucro, organizaciones que realizan revisiones de seguridad de la información y las pruebas de conformidad técnica.

¿Que es ISO 27008?

Es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.


Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información.


¿Que Soporta 27008?

soporta tanto la planificación como la ejecución del SGSI y el proceso de gestión del riesgo del sistema de la organización.

Por otro lado, supone un valor añadido y una mejora de la calidad de las normas de la serie ISO 27000.

Mejora las auditorias del SGSI a través de la optimización de la relaciones entre los procesos del Sistema de Gestión de Seguridad de la Información y los controles necesarios para los mismos. Además garantiza un uso eficiente y efectivo de los recursos de la auditoría.

Mientras que ISO 27007 se focaliza en la auditoría de todos los elementos del SGSI, según lo describe ISO 27001, ISO-27008 se dirige a la comprobación de los controles de seguridad de la información.

La norma incluye la comprobación de la conformidad técnica frente a un estándar de implementación de seguridad de la información establecido en la empresa. No busca suministrar orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del SGSI.

Los controles técnicos de los que hablamos no se definen explícitamente en la norma, son los conocidos como controles de seguridad de TI, que no son sino un subconjunto de los controles de seguridad de la información descritos en la norma ISO 27001 e ISO 27002.

Estos controles que trae ISO 27008 ayudarán a la organización a:
  1. Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en marcha de los controles de seguridad de la información, normas de seguridad de la información y controles de la información técnica.
  2. Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de seguridad de la información.
  3. Planificar actividades de mitigación de riesgos de seguridad de la información.
  4. Confirmar que las deficiencias de seguridad de información emergentes se han abordado de forma adecuad.

Mas Información 

No hay comentarios: