ISO/IEC 27008
ISO / IEC 27008 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se focaliza en la auditoría de los controles de seguridad de la información.
Alcance
editarEste estándar proporciona orientación a los auditores con respecto a los controles de sistemas de gestión de la seguridad de la información, descritos en el ISO/IEC 27001 y ISO/IEC 27002, seleccionados mediante un enfoque basado en riesgos (análisis de riesgos y posterior construcción del sistema basado en su evaluación).
Respalda el proceso de gestión de riesgos de seguridad de la información descrito en el ISO / IEC 27001.
Ofrece orientación sobre como revisar y evaluar los controles de la seguridad de la información, incluida la evaluación técnica de los controles del sistema de información, el cumplimiento de los requisitos de seguridad de la información establecidos de una organización.
Es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas.
Objetivo
editarEl objetivo es que los controles de seguridad sean adecuados para su propósito y eficaces para que mitiguen adecuadamente los riesgos de información de forma aceptable para la organización (rentable y acorde a los objetivos comerciales, políticas y requisitos de la organización).
Para ello esta norma ofrece la flexibilidad necesaria para personalizar las revisiones basándose en los objetivos comerciales, políticas y requisitos de la organización
Propósito
editarGracias a este estándar se mejora las auditorias del SGSI a través de la optimización de las relaciones entre su procesos y controles y se garantiza el uso eficiente y efectivo de los recursos de la auditoría.
Estado de la norma
editarLa primera edición fue publicada en 2011 como ISO / IEC TR 27008: 2011.
La segunda edición ha sido publicada en 2019 como ISO / IEC TS 27008: 2019.
Véase también[editar código · editar]
editarEnlaces externos
editar- https://www.iso27001security.com/html/27008.html Portal con información sobre ISO/IEC 27008
- https://www.iso.org/obp/ui/#iso:std:iso-iec:ts:27008:ed-1:v1:en Sitio Web oficial del ISO/IEC 27008