ISO/IEC 27004
La norma ISO/IEC 27004 Information Technology – Security techniques – Information Security Management – Measurement, en español Tecnología de la Información – Técnicas de seguridad – Gestión de la seguridad de la Información – Medida, es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más información consultar ISO/IEC 27000). La norma ISO/IEC 27004 proporciona pautas destinadas a ayudar a organizaciones a evaluar el rendimiento de la seguridad de la información y la eficiencia de un sistema de gestión con el fin de cumplir los requisitos de la norma ISO/IEC 27001. Esta norma establece:
- El monitoreo y medición del rendimiento de la seguridad de la información.
- El monitoreo y medición de la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI), incluidos procesos y controles.
- Análisis y evaluación de los resultados de monitorización y medición.
Esta norma es aplicable a todo tipo de organizaciones independientemente de su tamaño. La norma ISO/IEC 27004 fue publicada el 7 de diciembre de 2009 y revisada en diciembre de 2016. Actualmente no es certificable y no está traducida al castellano.
Existen una seria de etapas planteadas por ISO-27004 con el fin de medir y evaluar la eficacia de la seguridad de la información:
- Elegir los objetivos y procesos de medición.
- Describir las líneas principales.
- Elegir los datos.
- Desarrollo del sistema de medición.
- Interpretar los valores medidos.
- Notificar dichos valores.
Términos y estructura[editar]
Los términos y definiciones dados en esta norma están definidos dentro de la norma ISO/IEC 27000. El estándar ISO/IEC 27004 está estructurado de la siguiente manera:
- Base lógica
- Características – dentro de este apartado se define entre otras cosas qué monitorizar, quién y qué medir, cuándo monitorizarlo, medirlo y evaluarlo.
- Tipos de medidas – en este apartado se describen los dos tipos de medidas fundamentales: de rendimiento y de efectividad.
- Procesos – en este apartado se definen los tipos de procesos a seguir.
Además de eso posee 3 anexos (A, B, C):
- Anexo A – describe un modelo de medida de la seguridad de la información lo que incluye la relación de los componentes del modelo de medida y los requerimientos del ISO/IEC 27001.
- Anexo B – proporciona un amplio rango de ejemplos que se usan como guía.
- Anexo C – proporciona un ejemplo más completo.
Véase también[editar]
- ISO/IEC 27000-series
- ISO/IEC 27001
- ISO/IEC 27002 (anteriormente ISO/IEC 17799)
- ISO/IEC 27003
Enlaces externos[editar]
- https://www.iso.org/standard/73906.html Sitio web oficial del ISO/IEC 27000:2018
- https://www.iso.org/standard/64120.html Sitio web oficial del ISO/IEC 27003:2017
- http://www.iso27000.es/iso27000.html Portal con información en español sobre la serie 27000 y los sistemas de gestión de seguridad de la información.
| Control de autoridades |
|
|---|
Datos: Q5974091