La norma ISO/IEC 27001:2005 cubre todo tipo de organizaciones (empresas, instituciones gubernamentales, organizaciones sin animo de lucro).
ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.
Especifica los requisitos para implantar controles de seguridad acordes con las necesidades individuales de la organización o las partes sobre las que se determine el alcance.
ISO/IEC 27001:2005 está diseñado para garantizar una seleccion adecuada de controles de seguridad y proporcionales a los activos a proteger. También permitirá dar confianza sobre terceras partes que quieran garantizar la correcta gestión de la información en procesos externalizados.
ISO/IEC 27001:2005 puede ser apropiado como base para diferentes tipos de uso entre los que destacan:
- usado dentro de organizaciones para formular sus objetivos y requisitos de seguridad.
- usado dentro de organizaciones como forma de garantizar la gestión del riesgo y la rentabilidad de la inversión en seguridad.
- usado dentro de organizaciones para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información
- usado dentro de organizaciones como marco de procesos en la implantación y gestión de los controles que garantizen el cumplimiento de los objetivos de seguridad que la organización establezca
- como definición del nuevo conjunto de procesos relacionados con la gestión de la seguridad de la información
- como identificación y aclaración de los procesos de gestión de la seguridad
- usado por la dirección de organizaciones para determinar y medir el estado de la seguridad en las actividades de gestión de la información.
- usado por auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las políticas, directivas y normas adoptadas por la organización
-usado dentro de organizaciones para proporcionar información relevante sobre sus políticas, directivas y normas de seguridad e intercambiarlas con sus clientes como una forma de demostrar y garantizar la correcta gestión de la información que en ellos se deposita
-implementación para permitir la creación de nuevas actividades de negocio relacionadas con la seguridad de la información
-usada dentro de organizaciones para proporcionar confianza a sus clientes respecto de la seguridad de la información que pueden proporcionar en la realización de sus servicios.
En Internet encontré Estas excelentes guías sobre el tema:
Descargar guía de la Seguridad de la Información
Descargar guía Seguridad para usuarios
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario