jueves, 10 de diciembre de 2009

Mapa de ISOs


El "mapa" de las normas de seguridad a tener en cuenta cambia despacio, pero constantemente. Hace poco me enteraba de que se ha planteado la creación de una ISO sobre cómo presentar al público una vulnerabilidad, la ISO 29147. Por eso, quería tener una recopilación de las normas ISO orientadas a seguridad informática, tanto las que están en curso, como las que se publicarán a corto y medio plazo (un año más o menos). Aquí van las que tengo hasta la fecha:
  • ISO/IEC 15408: Evaluation criteria for IT security (esto es, el Common Criteria)
  • ISO/IEC 27000: Information security management systems - Overview and vocabulary
  • ISO/IEC 27001: Information security management systems - Requirements
  • ISO/IEC 27002: Code of practice for information security management
  • ISO/IEC 27004: Information security management measurements
  • ISO/IEC 27005: Information security risk management (reemplaza a la ISO/IEC 13335)
  • ISO/IEC 27006: International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems
  • ISO/IEC 27007: Guidelines for information security management systems auditing
  • ISO/IEC 27008: Guidance for auditors on ISMS controls
  • ISO/IEC 27010: Information security management for inter-sector communications (for critical infrastructure)
  • ISO/IEC 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO/IEC 27013: Guidelines for integration implementation of ISO/IEC 20000-1 & ISO/IEC 27001
  • ISO/IEC 27014: Information security governance framework
  • ISO/IEC 27031: ICT readiness for business continuity
  • ISO/IEC 27032: Guidelines for CyberSecurity
  • ISO/IEC 27033: Network security (reemplaza a ISO/IEC 18028)
  • ISO/IEC 27034: Application security
  • ISO/IEC 24760: A framework for identity management
  • ISO/IEC 29100: A privacy framework
  • ISO/IEC 29101: A privacy reference architecture
  • ISO/IEC 29146: A framework for access management
  • ISO/IEC 29147: Responsible vulnerability disclosure
  • ISO/IEC 29149: Best practice on the provision of timestamping
    services

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

3 comentarios:

Alvaro dijo...

Ufff, de verdad necesitamos tantas y tantas normas? No seria mejor simplificar el sistema y concentrarnos en las mejores prácticas y lo que realmente necesita la empresa para mejorar su gestión? Me viene a la cabeza aquello de "si tu sistema de gestión sólo añade burocracia y papeles, entonces no sirve para nada"...

des dijo...

Hola @alvaro! Pues no, una empresa no necesitará, como dices, "tantas y tantas" normas ni de coña. Pero seguro que empleará alguna de ellas como base, o quizás inspiración (por decirlo de alguna manera) para desarrollar su propia manera de hacer las cosas.

También puede buscar certificarse en alguna ISO (por ejemplo la 27001 es certificable), en cuyo caso si tendrá que emplearla directamente, claro está. ¡Feliz año nuevo!

des dijo...

Actualización 22 de Enero 2010: MBPFernand0 nos avisa de que aumenta el número de empresas certificadas con ISO en España :)