Impresiones de la nueva ISO 27000 para 2013
Hay más de 30 normas de la serie ISO 27000, las cuales están en constante cambio porque la seguridad de la información y las mejores prácticas evolucionan constantemente. Estos son los cambios que probablemente ocurrirán en 2013 con estas normas:
ISO/IEC 27001: dado que esta es la norma principal de la serie, su revisión se espera con gran expectación. Fue publicada en 2005, por lo que los cambios seguramente no serán menores. El cambio más grande (además de los controles del Anexo A, véase la norma ISO 27002 a continuación) será en la estructura de la norma. De acuerdo con las directivas ISO anexo SL (anteriormente denominado ISO Guide 83), la estructura de cada estándar de administración debe ser alineado, por lo que el mismo destino tendrá esta revisión de la norma ISO 27001. Estos cambios son visible en la norma ISO 22301, la norma de continuidad de negocio nuevo, que fue la primera en cumplir con la Guía 83. Consultar los cambios completos de la nueva ISO 27001 (2013 Draft Version)
La fecha de publicación de la norma ISO 27001 no se ha establecido aún, pero podría ser en la segunda mitad de 2013.
ISO/IEC 27002: la revisión de esta norma se publicará junto con la norma ISO 27001, ya que brinda directrices para la aplicación de los controles de la ISO 27001 Anexo A. Por lo tanto, estas dos normas deben alinearse completamente. ¿Cuáles serán las revisiones?
ISO/IEC 27004: este es el estándar que define las métricas de seguridad de la información, en otras palabras, la forma de medir seguridad de la información en una organización. Se ha publicado inicialmente en 2009 entrará en proceso de revisión durante 2013.
ISO/IEC 27006: esta norma define los requisitos para los organismos de certificación que prestan los servicios de auditoría. Como otras normas de auditoria (ISO 19011 e ISO 17021) están actualmente en proceso de revisión. Se espera que la versión revisada de la norma ISO 27006 se publicará en 2013 o 2014.
ISO/IEC 27011: es el estándar que proporciona directrices para la gestión de seguridad de la información en las telecomunicaciones. Como se basa en gran medida en la norma ISO 27002, se revisará una vez que la nueva versión de la norma ISO 27002 se publique. Puede ocurrir en el 2013, pero es más probable en 2014.
ISO/IEC 27014: define la gobernanza de la seguridad de la información, ya que esta norma está, al momento de escribir este artículo en estado FDIS (final), se espera que se publicará en el primer semestre de 2013.
ISO/IEC TR 27016: es el estándar que define la economía organizacional para la gestión de información de seguridad. Dado que esta norma se encuentra todavía en la versión preliminar, es teóricamente posible que se publicará en 2013, sin embargo, 2014 es mucho más realista como un año de publicación.
ISO/IEC 27017: es el estándar que define la seguridad en Cloud Computing. Ya que dependerá en gran medida de revisar la norma ISO 27001 e ISO 27002, a lo sumo se publicará a finales de 2013 o el primer semestre de 2014.
ISO/IEC 27018: es el estándar que va a proporcionar el código de prácticas para el control de la protección de datos para los servicios públicos de Cloud Computing. Similar a la norma ISO 27017, esta norma debe esperar hasta que se publique la norma ISO 27002.
ISO/IEC TR 27019: es la norma que se centra en las directrices de gestión de seguridad para la industria de la energía. Al estar basado en la norma ISO 27002, no se espera que se publicará hasta finales de 2013 o en 2014.
ISO/IEC 27033-5: se encuentra todavía en la fase de borrador, y define cómo utilizar comunicaciones seguras mediante red privada virtual (VPN). Su publicación se espera hacia finales de 2013.
ISO/IEC 27036: está todavía en la fase de borrador y se especifica la forma de regular la seguridad de la información en las relaciones con los proveedores. Esta norma se publicará en cuatro o cinco partes, tres de los cuales podrían ser publicados en 2013 o principios de 2014.
ISO/IEC 27040: define la seguridad de almacenamiento. Está programado para ser publicado en 2013, pero puede ser empujado hasta 2014.
Como se puede ver, muchas normas se publicarán pronto, o por lo menos van a ser revisadas. ¿Quién dice que la seguridad informática es un negocio aburrido?
Fuente: SeguInfo
ISO/IEC 27001: dado que esta es la norma principal de la serie, su revisión se espera con gran expectación. Fue publicada en 2005, por lo que los cambios seguramente no serán menores. El cambio más grande (además de los controles del Anexo A, véase la norma ISO 27002 a continuación) será en la estructura de la norma. De acuerdo con las directivas ISO anexo SL (anteriormente denominado ISO Guide 83), la estructura de cada estándar de administración debe ser alineado, por lo que el mismo destino tendrá esta revisión de la norma ISO 27001. Estos cambios son visible en la norma ISO 22301, la norma de continuidad de negocio nuevo, que fue la primera en cumplir con la Guía 83. Consultar los cambios completos de la nueva ISO 27001 (2013 Draft Version)
La fecha de publicación de la norma ISO 27001 no se ha establecido aún, pero podría ser en la segunda mitad de 2013.
ISO/IEC 27002: la revisión de esta norma se publicará junto con la norma ISO 27001, ya que brinda directrices para la aplicación de los controles de la ISO 27001 Anexo A. Por lo tanto, estas dos normas deben alinearse completamente. ¿Cuáles serán las revisiones?
ISO/IEC 27004: este es el estándar que define las métricas de seguridad de la información, en otras palabras, la forma de medir seguridad de la información en una organización. Se ha publicado inicialmente en 2009 entrará en proceso de revisión durante 2013.
ISO/IEC 27006: esta norma define los requisitos para los organismos de certificación que prestan los servicios de auditoría. Como otras normas de auditoria (ISO 19011 e ISO 17021) están actualmente en proceso de revisión. Se espera que la versión revisada de la norma ISO 27006 se publicará en 2013 o 2014.
ISO/IEC 27011: es el estándar que proporciona directrices para la gestión de seguridad de la información en las telecomunicaciones. Como se basa en gran medida en la norma ISO 27002, se revisará una vez que la nueva versión de la norma ISO 27002 se publique. Puede ocurrir en el 2013, pero es más probable en 2014.
ISO/IEC 27014: define la gobernanza de la seguridad de la información, ya que esta norma está, al momento de escribir este artículo en estado FDIS (final), se espera que se publicará en el primer semestre de 2013.
ISO/IEC TR 27016: es el estándar que define la economía organizacional para la gestión de información de seguridad. Dado que esta norma se encuentra todavía en la versión preliminar, es teóricamente posible que se publicará en 2013, sin embargo, 2014 es mucho más realista como un año de publicación.
ISO/IEC 27017: es el estándar que define la seguridad en Cloud Computing. Ya que dependerá en gran medida de revisar la norma ISO 27001 e ISO 27002, a lo sumo se publicará a finales de 2013 o el primer semestre de 2014.
ISO/IEC 27018: es el estándar que va a proporcionar el código de prácticas para el control de la protección de datos para los servicios públicos de Cloud Computing. Similar a la norma ISO 27017, esta norma debe esperar hasta que se publique la norma ISO 27002.
ISO/IEC TR 27019: es la norma que se centra en las directrices de gestión de seguridad para la industria de la energía. Al estar basado en la norma ISO 27002, no se espera que se publicará hasta finales de 2013 o en 2014.
ISO/IEC 27033-5: se encuentra todavía en la fase de borrador, y define cómo utilizar comunicaciones seguras mediante red privada virtual (VPN). Su publicación se espera hacia finales de 2013.
ISO/IEC 27036: está todavía en la fase de borrador y se especifica la forma de regular la seguridad de la información en las relaciones con los proveedores. Esta norma se publicará en cuatro o cinco partes, tres de los cuales podrían ser publicados en 2013 o principios de 2014.
ISO/IEC 27040: define la seguridad de almacenamiento. Está programado para ser publicado en 2013, pero puede ser empujado hasta 2014.
Como se puede ver, muchas normas se publicarán pronto, o por lo menos van a ser revisadas. ¿Quién dice que la seguridad informática es un negocio aburrido?
Fuente: SeguInfo
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios