ISO/IEC 27004

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

ISO/IEC 27004 Information Technology – Security techniques – Information Security Management – Measurement, en español Tecnología de la Información – Técnicas de seguridad – Gestión de la seguridad de la Información – Medida, es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más información consultar ISO/IEC 27000). La norma ISO/IEC 27004 proporciona pautas destinadas a ayudar a organizaciones a evaluar el rendimiento de la seguridad de la información y la eficiencia de un sistema de gestión con el fin de cumplir los requisitos de la norma ISO/IEC 27001. Esta norma establece:

  • El monitoreo y medición del rendimiento de la seguridad de la información.
  • El monitoreo y medición de la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI), incluidos procesos y controles.
  • Análisis y evaluación de los resultados de monitorización y medición.

Esta norma es aplicable a todo tipo de organizaciones independientemente de su tamaño. La norma ISO/IEC 27004 fue publicada el 7 de diciembre de 2009 y revisada en diciembre de 2016. Actualmente no es certificable y no está traducida al castellano.

Existen una seria de etapas planteadas por ISO-27004 con el fin de medir y evaluar la eficacia de la seguridad de la información:

  1. Elegir los objetivos y procesos de medición.
  2. Describir las líneas principales.
  3. Elegir los datos.
  4. Desarrollo del sistema de medición.
  5. Interpretar los valores medidos.
  6. Notificar dichos valores.

Términos y estructura[editar]

Breve descripción de qué añade el ISO/IEC 27004 con respecto al ISO/IEC 27001

Los términos y definiciones dados en esta norma están definidos dentro de la norma ISO/IEC 27000. El estándar ISO/IEC 27004 está estructurado de la siguiente manera:

  • Base lógica
  • Características – dentro de este apartado se define entre otras cosas qué monitorizar, quién y qué medir, cuándo monitorizarlo, medirlo y evaluarlo.
  • Tipos de medidas – en este apartado se describen los dos tipos de medidas fundamentales: de rendimiento y de efectividad.
  • Procesos – en este apartado se definen los tipos de procesos a seguir.

Además de eso posee 3 anexos (A, B, C):

  • Anexo A – describe un modelo de medida de la seguridad de la información lo que inlcuye la relación de los componentes del modelo de medida y los requerimientos del ISO/IEC 27001.
  • Anexo B – proporciona un amplio rango de ejemplos que se usan como guía.
  • Anexo C – proporciona un ejemplo más completo.

Ver también[editar]

Enlaces externos[editar]