De una forma
panorámica los principales ámbitos de normalización son los relativos al
sistema de gestión de seguridad de la información, a las técnicas y mecanismos,
sean o no criptográficos, y a la evaluación de la seguridad de las tecnologías
de la información y aspectos asociados, según se refleja en el gráfico
siguiente (figura 1), que también recoge la presencia de ámbitos que, de forma
creciente, demandan una atención especializada, como la gestión de identidad y
privacidad y los servicios y controles de seguridad, aunque se apoyen, así
mismo, en los tres ámbitos principales citados.
La norma UNE
71502:2004 define un Sistema de Gestión de la Seguridad de la Información
(SGSI) como aquel “sistema de gestión que comprende la política, la estructura
organizativa, los procedimientos, los procesos y los recursos necesarios para
implantar la gestión de la seguridad de la información. El sistema es la
herramienta de que dispone la dirección de las organizaciones para llevar a
cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y
disponibilidad, asignación de responsabilidad, autenticación). Proporciona
mecanismos para la salvaguarda de los activos de información y de los sistemas
que los procesan, en concordancia con las políticas de seguridad y planes
estratégicos de la organización.”
Mientras que la
norma ISO/IEC 27001:2005 lo define como:
“Parte del sistema
global de gestión, que sobre la base de un enfoque basado en los riesgos, se
ocupa de establecer, implantar, operar, seguir, revisar, mantener y mejorar la
seguridad de la información. El sistema de gestión incluye estructuras
organizativas, políticas, actividades de planificación, responsabilidades,
prácticas, procedimientos, procesos y recursos.”
No hay comentarios:
Publicar un comentario