ISO 27008
ISO 27008 es una norma que orienta sobre la implementación y operación de los controles. Se trata de una norma aplicable a cualquier tipo de organización, tanto pública como privada, que realice revisiones y controles relacionados con la seguridad de la información.
ISO27008 es compatible con otros estándares como ISO 27001 o ISO 27002, sirviendo como plataforma estratégica para garantizar la seguridad de la información. Esta norma lleva tanto la planificación como la ejecución del Sistema de Gestión de la Seguridad de la Información y el proceso de gestión del riesgo.
Por otro lado, supone un valor adicional para la organización y un incremento de la calidad de las normas de la familia ISO 27000.
Además mejora las auditorias del SGSI mediante la optimización de las relaciones entre los procesos y controles del Sistema de Gestión de Seguridad de la Información. También garantiza el empleo eficiente de los recursos de la auditoría.
Mientras que ISO 27007 se centra en la auditoria de todos los elementos del SGSI, ISO-27008 esta encaminada a la verificación de los controles de seguridad de la información.
La norma incluye la comprobación de la conformidad técnica frente a una norma de implantación de seguridad de la información establecida en la organización.
Los controles técnicos no se definen expresamente en la norma, son los conocidos como controles de seguridad de TI, que son un subconjunto de controles de seguridad de la información definidos en la norma ISO 27001 e ISO 27002.
Dichos controles ayudarán a la organización a:
- Comprender el alcance de los problemas en la aplicación.
- Poner en marcha los controles de seguridad de la información, controles de la información técnica, normas de seguridad de la información.
- Identificar y reconocer los posibles impactos, amenazas o vulnerabilidades de seguridad de la información en la organización.
- Programar actividades de mitigación de riesgos.
- Garantizar que las deficiencias de seguridad de información se han abordado adecuadamente.
ISOTools es una Plataforma Tecnológica que ayuda a las organizaciones en la implementación y seguimiento de los sistemas de gestión de la seguridad de la información.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…