¿Qué es iso27001?
Consultoría en certificación de seguridad de la información ISO27000
Introducción y evaluación de riesgos del estándar de gestión de seguridad de la información ISO27001:2005
1 Desarrollo del estándar del sistema de gestión de seguridad de la información ISO27001
p >
Con el desarrollo continuo del nivel de informatización en todo el mundo, la seguridad de la información se ha convertido gradualmente en el foco de atención de las personas. Varias instituciones, organizaciones e individuos de todo el mundo están explorando cómo garantizar la seguridad de la información. El Reino Unido, Estados Unidos, Noruega, Suecia, Finlandia, Australia y otros países han formulado estándares nacionales relacionados con la seguridad de la información. La Organización Internacional de Normalización (ISO) también ha emitido ISO17799, ISO13335, ISO15408 y otros estándares e informes técnicos internacionales. relacionados con la seguridad de la información. En la actualidad, en términos de gestión de seguridad de la información, la norma británica ISO2700:2005 se ha convertido en la norma de gestión de seguridad de la información más utilizada y típica en el mundo. Fue desarrollada bajo la dirección del Comité de Gestión de Seguridad de la Información BDD/2 de BSI/. DESCT. El estándar ISO27001 fue establecido por el Departamento de Comercio e Industria del Reino Unido en 1993. En 1995, el Reino Unido publicó por primera vez BS 7799-1: 1995 "Reglas de implementación de gestión de seguridad de la información", que proporciona un conjunto completo de reglas de implementación compuestas por las mejores reglas de seguridad de la información. , su propósito es servir como única línea base de referencia para determinar el alcance de control requerido para los sistemas de información industriales y comerciales en la mayoría de situaciones, y es aplicable a organizaciones grandes, medianas y pequeñas. En 1998, los británicos publicaron la segunda parte de la norma "Especificación del sistema de gestión de seguridad de la información", que estipula los requisitos del sistema de gestión de seguridad de la información y los requisitos de control de seguridad de la información. Es la base para la evaluación integral o parcial del sistema de gestión de seguridad de la información de una organización. Puede utilizarse como base para un esquema de certificación formal. ISO2700:2005-1 e ISO2700:2005-2 fueron revisadas y relanzadas en 1999. La versión de 1999 tuvo en cuenta el desarrollo reciente de la tecnología de procesamiento de información, especialmente en el campo de redes y comunicaciones, y también enfatizó la seguridad de la información involucrada. en los negocios y responsabilidades de seguridad de la información. En diciembre de 2000, ISO2700:2005-1:1999 "Reglas de implementación de gestión de seguridad de la información" pasó el reconocimiento de la Organización Internacional de Normalización ISO y se convirtió oficialmente en un estándar internacional -----ISO/IEC17799-1:2000 "Tecnología de la información- Normas de Implementación de la Gestión de Seguridad de la Información. El 5 de septiembre de 2002, después de extensas discusiones, el borrador ISO2700:2005-2:2002 finalmente se publicó como norma formal y se abolió ISO2700:2005-2:1999. Actualmente, la norma ISO2700:2005 ha sido reconocida por muchos países y es una norma de sistema de gestión de seguridad de la información representativa a nivel internacional. En la actualidad, además del Reino Unido, los Países Bajos, Dinamarca, Australia, Brasil y otros países han acordado utilizar este estándar. Japón, Suiza, Luxemburgo y otros países también han expresado interés en el estándar ISO2700:2005, y el de mi país. Taiwán y Hong Kong también están promoviendo la norma. Agencias gubernamentales, bancos, empresas de valores, compañías de seguros, operadores de telecomunicaciones, empresas de Internet y muchas empresas multinacionales en muchos países han adoptado este estándar para gestionar sistemáticamente la seguridad de su información. En septiembre de 2002, 142 organizaciones de diversos tipos en todo el mundo habían aprobado la certificación del sistema de gestión de seguridad de la información ISO2700:2005.
Resumen del índice
Conocimientos básicos
00 Recopilación de incidentes de seguridad de la información
01 Términos y definiciones relacionados con la seguridad de la información p>
1.01 Seguridad de la Información
1.02 Confidencialidad
1.03 Integridad
......
02 BS 7799, ISO17799 y conocimientos básicos de ISO27001
Introducción a ISO17799:2005
Conocimientos básicos de ISO17799
Introducción a las normas de la serie ISO27000
Conceptos básicos de riesgo evaluación
......
03 Conocimientos básicos de certificación y acreditación de sistemas de gestión de seguridad de la información
¿Cuáles son los tipos de no conformidades SGSI?
¿Qué trabajo se debe realizar en la etapa de planificación de la auditoría interna del SGSI?
¿La certificación SGSI es válida de por vida?
¿Qué se debe incluir exactamente en el informe de auditoría del SGSI?
......
04 leyes, regulaciones y estandarización de seguridad de la información de mi país
estandarización de la seguridad de la información de mi país
mi Regulaciones de las leyes de seguridad de la información del país
05 Conocimientos relacionados con el examen de calificación de seguridad de la información
5.1 CISP
5.2 CISSP
5.3 BS7799 Auditor jefe
5.4 ITIL
5.5 CISA
5.6 Documentos técnicos relacionados con la seguridad de la información
Entendimiento del estándar
06 ISO27001:2005 Guía y comprensión del estándar (comparación en chino e inglés)
Contenido
0 Introducción
1 Alcance
2 Estándares de referencia
3 Terminología y definiciones
4 Sistema de gestión de seguridad de la información
5 Responsabilidades de la gestión
6 Revisión interna del sistema de gestión de seguridad de la información
7 Revisión de la gestión del sistema de gestión de seguridad de la información
8 Mejora del sistema de gestión de seguridad de la información
Apéndice A
Apéndice B
Apéndice C
Bibliografía de referencia
Introducción relacionada con ISO27001:2005
07 Norma ISO17799:2005: comprensión y directrices (chino e inglés)
Contenido
0 Introducción
1 Alcance
2 Términos y definiciones
3 Estructura de la norma
4 Evaluación y tratamiento de riesgos
5 Política de Seguridad
6 Organización de la Seguridad de la Información
7 Gestión de Activos
8 Seguridad de los Recursos Humanos
9 Física y Seguridad Ambiental
10 Gestión de comunicaciones y operaciones
11 Control de acceso
12 Adquisición, desarrollo y mantenimiento de sistemas de información
13 Información gestión de incidentes de seguridad
14 Gestión de la Continuidad del Negocio
15 Cumplimiento
Introducción relacionada con ISO17799:2005
08 Otros estándares de referencia para la gestión de seguridad de la información
p>Introducción a ASNZS 4360
Introducción al estándar ISO15408
Introducción a ISOIEC TR 13335
NIST SP 800-30 IT Guía de gestión de riesgos del sistema
Introducción a SSE-CMM
Introducción a la práctica
09 Establecer un sistema de gestión de seguridad de la información basado en ISO27001
09.1 Formulación de políticas y planificación de procesos
09.2 Documentos SGSI
09.3 Evaluación de riesgos y control de selección
09.4 Auditoría del sistema SGSI y revisión de la gestión
09.5 Solicitud de certificación y preparación de auditoría
10 Plantilla de documento del sistema de gestión de seguridad de la información
10.1 Manual del sistema de gestión de seguridad de la información
10.2 Documento del programa del sistema de gestión de seguridad de la información<
/p>
10.3 Documentos operativos del sistema de gestión de seguridad de la información
10.4 Registros comunes del sistema de gestión de seguridad de la información
11 Introducción a los estándares de evaluación de riesgos de seguridad de la información
11.1 Información general sobre el desarrollo de estándares de evaluación de riesgos de seguridad
11.2 BS7799 e ISO13335
11.3 GAO AIMD-99-139
11.4 NIST SP800-30 Riesgo del sistema de TI Guía de Gestión
p>
11.5 Método OCTAVE
11.6 Modelo de Madurez de Capacidad de Ingeniería de Seguridad del Sistema SSE-CMM
11.7 Guía de Gestión de Riesgos AS NZS4360
11.8 Otras evaluaciones de seguridad de la información Estándar
12 Redacción de políticas de seguridad de la información y ejemplos típicos de selección de políticas
12.1 Conocimientos básicos de políticas de seguridad de la información
12.2 Redacción y ejecución de la política de seguridad de la información
12.3 Recopilación de políticas típicas de seguridad de la información
Plantillas de políticas
Consultoría ISO27000
Estándares ISO27000
Leyes y regulaciones ISO27000
Información relacionada con ISO27000
/shownews.asp?id=49