Sistema de Gestión de La Seguridad de La Información

Sistema de gestión de la seguridad de la información

Círculo de Deming. Deming.

ENISA: Gestión de riesgo y actividades del SGSI.

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés  (en inglés:: information security management  ISMS)) es, es, como como el nomb nombre re lo sugi sugier ere, e, un con conjunt juntoo system, ISMS de políticas de administración de la información. El término es utilizado principalmente principalmente por la ISO/IEC la  ISO/IEC 27001, 27001 , aunque no es la única normativa que utiliza este término o concepto.

y operación de los controles. controles. •

  Check  (controlar): es una fase que tiene como ob-

jetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.

esta fasese ase se reali realizan zan camb cambio ioss cuand cuandoo Act (actuar): en esta Un SGSI es para una organización el diseño, implantaseanec sea neces esari ario o para par a llevar lle varde de vuelta vue lta el SGSI SGS I a máxim máx imoo ción, mantenimiento de un conjunto de procesos para rendimiento. gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, confidencialidad, integridad y disponibilidad disponibilidad de los activos de información información minimizan- SGSI SGSI es desc descri rito to por por la ISO/ ISO/IE IEC C 2700 270011 y ISO/IE ISO/IEC C 27002 y relaciona los estándares publicados publicados por la International la  International do a la vez los riesgos de seguridad de la información. información. Organization for Standardization Standardization (ISO)  (ISO) y la International la  International Como todo proceso de gestión, un SGSI debe seguir sienCommission  (IEC). JJO también define do eficiente do  eficiente durante  durante un largo tiempo adaptándose a los Electrotechnical Commission (IEC). cambios internos de la organización así como los exter- normas estandarizadas de distintos SGSI. •

nos del entorno.

2 1

Otros tros SGSI SGSI

PDCA •

La ISO/IEC 27001 por lo tanto incorpora el típico  Plan ( PDCA)) que significa “Planificar-HacerDo-Check-Act  (PDCA Controlar-Actuar” siendo este un enfoque de mejora continua: •

•

  Plan   (planificar): es una fase de diseño del SGSI,

realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados . •

•

que envue envuelv lvee la imp implan lantac tació iónn Do (hacer): es una fase que 1

 TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido SOGP es otro SGSI que compite en el mercado es el llamado “Information Security Forum’s Standard of Good Practice” (SOGP). Este SGSI es más una  best   practice (buena práctica), basado en las experiencias del Foro del Foro de la seguridad de la info información rmación (ISF).  (ISF).   ISM3: Informa Information tion Security Security Managem Management ent Maturity Model (ISM3) (conocida como ISM-cubed o ISM3) está construido en estándares como ITIL,

2

5

ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está basadaen controles.ISM3 está basadaen procesos e incluye métricas de proceso.

3

Otros marcos de trabajo •

•

4

 En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad.  PRINCE2 es otro marco de trabajo de buenas prácticas, en este caso relacionadas con la gestión de proyectos, siendo ésta, ampliamente utilizada.

Véase también •

 Ley Orgánica de Protección de Datos de Carácter Personal de España

•

 Seguridad de la información

•

  PDCA

•

 ISO/IEC 27000-series

•

 ISO/IEC 27001

•

 ISO/IEC 27002

•

 ISO 9001

5

Enlaces externos •

•

•

•

•

•

•

•

 Áudea Expertos en SGSI  Consultoría, auditotía y formación en SGSI Curso Impantador, Curso Lead Auditor, Curso Auditoría de SGSI Cursos TIC Seguridad   British Standards Institution   BSI, información en Español Information Security Forum (ISF) (en inglés)  ITIL Security (en inglés) Information Security Management Maturity Model (ISM3) (en inglés)  www.iso27000.es -  www.iso27001.es: Portal con información en español sobre la serie 27000 y los sistemas de gestión de seguridad de la información.  www.iso27002.es Wiki en español sobre los controles en los sistemas de gestión de seguridad de la información.

•

•

ENLACES EXTERNOS 

Guia SGSI de INTECO-CERT VideoGuia en español, de INTECO_CERT sobre los sistemas de gestión de seguridad de la información. [http://www.inmunosuite.com Suite que automatiza cabalmente todos los requisitos de la norms ISO 27001.

3

6

Origen del texto y las imágenes, colaboradores y licencias

6.1 •

Texto   Sistema de gestión de la seguridad de la información   Fuente:   https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_ seguridad_de_la_informaci%C3%B3n?oldid=87096010  Colaboradores:  Vaceituno, Superzerocool, CEM-bot, Rastrojo, Antur, Ggene-

llina, Rcidte, VolkovBot, Snakeyes, Technopat, Muro Bot, Ensada, BOTarate, Luckas-bot, KvedBOT, GRUPO ACMS Consultores, KamikazeBot, Nachosan, GrouchoBot, Savh, MerlIwBot, KLBot2, Gelosada, Mega-buses, Elvisor, Lucasardaya, Jarould y Anónimos: 31

6.2 •

Imágenes   Archivo:Commons-emblem-question_book_orange.svg   Fuente:    https://upload.wikimedia.org/wikipedia/commons/1/1f/ Commons-emblem-question_book_orange.svg   Licencia:   CC BY-SA 3.0  Colaboradores:   +  Artista original:  GNOME icon artists, Jorge 2701 •

•

  Archivo:Isms_framework.jpg  Fuente:   https://upload.wikimedia.org/wikipedia/commons/e/e7/Isms_framework.jpg  Licencia:   Attribution  Colaboradores:   http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/files/isms_framework.jpg  Artista original:  ENISA   Archivo:PDCA_Cycle.svg  Fuente:   https://upload.wikimedia.org/wikipedia/commons/7/7a/PDCA_Cycle.svg  Licencia:   CC BY 3.0  Colaboradores:   Trabajo propio. Originally developed for  Taking the First Step with PDCA   Artista original:  Karn-b   - Karn G. Bulsuk

(http://www.bulsuk.com). Originally published at  http://www.bulsuk.com/2009/02/taking-first-step-with-pdca.html

6.3 •

Licencia del contenido Creative Commons Attribution-Share Alike 3.0