Noticias


Para la gestión de riesgos de los SGSI

Se publica la nueva y mejorada ISO/IEC 27005

logo_iso
24/08/2011

Según ha anunciado en su página web la International Organization for Standardization (ISO), este mes ha salido a la luz la nueva y mejorada norma ISO/IEC 27005:2011, que proporciona a los administradores y el personal de los departamentos de TI un marco para la implementación de un enfoque de gestión de riesgos, para ayudarle a gestionar los riesgos de su sistema de gestión de seguridad de la información (SGSI).

Según Edward Humphreys, Coordinador del grupo ISO / IEC de trabajo que desarrolló el estándar, "ISO / IEC 27005:2011 es una norma esencial para aquellos que quieren gestionar sus riesgos con eficacia y, en particular, para cumplir la norma ISO / IEC 27001 de sistemas de gestión de seguridad de la información. La gestión de riesgos es fundamental para el buen gobierno y esta norma ayuda a las organizaciones con consejos sobre el por qué, qué y cómo de la gestión de los riesgos de seguridad de la información en apoyo a los objetivos de su gobierno".

En esta segunda edición, el marco descrito en la norma ISO / IEC 27005 ha sido revisado y actualizado para reflejar el contenido de los documentos de gestión de riesgos:

  • ISO 31000:2009, Gestión de riesgos. (Principios y directrices)
  • ISO / IEC 31010:2009, Gestión de riesgos. (Las técnicas de evaluación de riesgos)
  • ISO Guide73: 2009, La gestión del riesgo. (Vocabulario)

La norma tiene el propósito de alinearse con ISO 31000:2009 con el fin de ayudar a las organizaciones que deseen gestionar sus riesgos de seguridad de la información de una manera similar a la forma de gestionar "otros" riesgos.

Según las mismas fuentes, el proceso de gestión de riesgos de seguridad de la información se compone de:

  • Contexto de creación
  • Evaluación de riesgos
  • Tratamiento de los riesgos
  • Aceptación del riesgo
  • La comunicación de riesgos, y
  • Riesgo de control y revisión.

Sin embargo, la norma ISO / IEC 27005:2011 no proporciona ninguna metodología específica para la gestión de riesgos de seguridad, pero aporta un enfoque genérico. Dependiendo de cada organización redefinirá el enfoque de gestión de riesgos, en función, por ejemplo, del alcance del sistema de gestión de seguridad, con base en el contexto de la gestión del riesgo, o en el sector de la industria.



Redes sociales