viernes, 5 de junio de 2015

Sistema de gestión de la seguridad de la información


Un sistema de gestión de la seguridad de la 
información (SGSI) (en inglésinformation security 
management system, ISMS) es, como el nombre lo sugiere, 
un conjunto de políticas de administración de la información. 
El término es utilizado principalmente por la ISO/IEC 27001
aunque no es la única normativa que utiliza este término o 
concepto.
Resultado de imagen para imagenes de la iso 27002

Un SGSI es para una organización el diseño, implantación, 
mantenimiento de un conjunto de procesos para gestionar 
eficientemente la accesibilidad de la información, buscando 
asegurar la confidencialidad, integridad y disponibilidad de 
los activos de información minimizando a la vez los riesgos 
de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir 
siendo eficiente durante un largo tiempo adaptándose a los 
cambios internos de la organización así como los externos 
del entorno.


La ISO/IEC 27001 por lo tanto incorpora el típico Plan-Do-
Check-Act (PDCA) que significa "Planificar-Hacer-Controlar-
Actuar" siendo este un enfoque de mejora continua:
  • Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la 
  • información y la selección de controles adecuados .
  • Do (hacer): es una fase que envuelve la implantación y operación de los controles.
  • Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
  • Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y 
relaciona los estándares publicados por la International 
Organization for Standardization (ISO) y la International 
Electrotechnical Commission (IEC). JJO también define 
normas estandarizadas de distintos SGSI.


  • TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido
  • SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
  • ISM3: Information Security Management Maturity Model (ISM3) (conocida como ISM-cubed o ISM3) está construido en estándares como ITIL, ISO 20000ISO 9001CMM, ISO/IEC 27001, e información general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está basada en controles. ISM3 está basada en procesos e incluye métricas de proceso.

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)