Normas ISO aplicadas a Auditoria de Sistemas

Las ISO son normas o estándares de seguridad establecidas por la Organización Internacional para
la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de
establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de
organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el
intercambio de información y contribuir a la transferencia de tecnologías.

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad

(desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.

La seguridad de la información, según la ISO 27001, se basa en la preservación de su

confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento.

1. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o

procesos no autorizados.

2. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de

proceso.

3. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma

por parte de los individuos o procesos autorizados cuando lo requieran.

ISO APLICADAS A AUDITORIA DE SISTEMAS:

 ISO 27001:

 ISO 27000:

 ISO 27002:

 ISO 27003- Guía para la implementación de un Sistema de Gestión de Seguridad de la

Información

 ISO 27004-Medicion de la seguridad de la información

 ISO 27005-Gestion de riesgos de la seguridad de la información

 ISO 27006-Guia para la certificación del SGSI

 ISO 27007-Guia para auditar

  ISO 27031-Continuidad del negocio

 ISO 27033-Seguridad en la red

 ISO 27034-seguridad de aplicaciones

 ISO 27799-para la industria sanitaria

 ISO/IEC 20000-Gestion de servicios de TI

 ISO 15408

ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Ventajas de implantar un SGSI:

 Analizar posibles riesgos

 Establecer medidas de seguridad

 Controles para evaluar medidas

 Anticipar problemas

 Manejar contingencias

CERTIFICACIÓN

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa,

independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001,
su grado de implantación real y su eficacia y, en caso positivo emite el correspondiente
certificado.
BENEFICIOS

El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas
a la organización:

 Demuestra la garantía independiente de los controles internos y cumple los requisitos de

gestión corporativa y de continuidad de la actividad comercial.

 Demuestra independientemente que se respetan las leyes y normativas que sean de

aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y
demostrar a los clientes que la seguridad de su información es primordial.

 Verifica independientemente que los riesgos de la organización estén correctamente

identificados, evaluados y gestionados al tiempo que formaliza unos procesos,
procedimientos y documentación de protección de la información.