Eso de ISO a lo que vas ¿qué es?, me preguntan cada vez que me voy a un país raro a hacer algo más raro todavía. Es cierto que, en principio, nada tiene que ver con el ejercicio de la abogacía, aunque si se le da una segunda pensada, no hacemos más que redactar normas pero de naturaleza voluntaria, con la ventaja de que son transversales: se aplican en todo el mundo con independencia de su sistema legal tras una larga y, a veces, tediosa edición en busca del consenso internacional.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) constituyen el sistema especializado para la normalización mundial. Los Organismos Nacionales que son miembros de ISO o de IEC (como AENOR en España) participan en el desarrollo de normas internacionales a través de los comités técnicos establecidos a nivel nacional que, a su vez, pueden tener subcomités y éstos grupos de trabajo por materias. En el campo de la tecnología de la información, ISO e IEC han establecido un Comité Técnico Conjunto denominado ISO/IEC JTC 1 del que depende el Subcomité 27. Éste sólo es uno de los más de 200 comités técnicos sobre todo tipo de materias en las que la industria necesite un estándar, desde la normalización de piezas de barcos o aviones a extintores, lavadoras o enchufes. El Subcomité 27, en el que colaboro, es el relativo a la seguridad SI.
El Subcomité 27 está desarrollando una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) que incluirá, tras su aprobación definitiva, normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones así como una guía de implantación de los sistemas de gestión de la seguridad de la información. Dicha familia de normas ha adoptado un esquema de numeración que utiliza los números de la serie 27000, siendo las más famosas las ya aprobadas ISO/IEC 17799 (27002 a partir de abril de 2007) que establece controles y objetivos de control de seguridad SI; y la 27001, que fija los requerimientos para establecer un SGSI. En esta familia “normativa” se encuadra la Norma 27004 de “Medidas SGSI” de la que soy editora internacional.
No sé si he aclararado gran cosa. Se admiten preguntas.
Esta es el blog personal de Paloma LLaneza. Gracias por visitarlo. Para comentarios, sugerencias o contactar conmigo: info[arroba]palomallaneza.com
lobezno
Enero 11th, 2007 at 20:23
Querida amiga, comenzaba diciendo un programa radiofonico de los años 70 y 80, feliciades por la brillante explicacion de las normas internacionale
Creo que la pregunta ahora es ¿con cual de ellas obtengo el certificado para que mi jefe lo ponga en la pared?.
Paloma LLaneza
Enero 11th, 2007 at 20:55
Querido Lobezno, ya te sabes tú de memoria que es la 27001, a pesar de que aún hay quien se confunde (con tanto número, no es difícil) y piensa que con la 17799 es suficiente. Puntualización, por tanto,necesaria.
lobezno
Enero 12th, 2007 at 18:32
Gracias, es que hay mucho advenedizo que las confunde
defenzor
Enero 18th, 2007 at 3:36
Ola!!!
¿La norma AS/NZ 4360:2004, correspondiente a la Gestión del Riesgo, estará incluida en la actualización de la nueva versión de la norma para las empresas?
Renato Aquilino Pujol
Febrero 19th, 2007 at 10:58
Buenos días, Paloma. Tengo como “cliente” tu “libro rojo” sobre la LSSI y te felicito por su despiece legal y su visión de aplicabilidad tan de agradecer por quienes no somos abogados. Mi pregunta va dirigida al entorno 2700x. La 27002 parece que viene pronto pero, ¿ hay fechas para el resto de “veintisietemiles” pendientes de publicar ?
Gracias anticipadas y reitero mi felicitación por tu labor.
Renato Aquilino Pujol
Licenciado en Informática, CISA, CISM
Paloma LLaneza
Febrero 19th, 2007 at 12:24
Renato, muchas gracias por ser “el lector”
y por el apoyo.
palomallaneza.com - » Las 27000
Febrero 20th, 2007 at 9:11
[...] Me pregunta Renato en su comentario qué para cuando saldrán las normas ISO/IEC de la familia 2700x. Me pongo a la contestación para general conocimiento: [...]