ISO/IEC 27004

La norma ISO/IEC 27004 Information Technology – Security techniques – Information Security Management – Measurement, en español Tecnología de la Información – Técnicas de seguridad – Gestión de la seguridad de la Información – Medida, es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más información consultar ISO/IEC 27000). La norma ISO/IEC 27004 proporciona pautas destinadas a ayudar a organizaciones a evaluar el rendimiento de la seguridad de la información y la eficiencia de un sistema de gestión con el fin de cumplir los requisitos de la norma ISO/IEC 27001. Esta norma establece:

El monitoreo y medición del rendimiento de la seguridad de la información.
El monitoreo y medición de la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI), incluidos procesos y controles.
Análisis y evaluación de los resultados de monitorización y medición.

Esta norma es aplicable a todo tipo de organizaciones independientemente de su tamaño. La norma ISO/IEC 27004 fue publicada el 7 de diciembre de 2009 y revisada en diciembre de 2016. Actualmente no es certificable y no está traducida al castellano.

Existen una seria de etapas planteadas por ISO-27004 con el fin de medir y evaluar la eficacia de la seguridad de la información:

Elegir los objetivos y procesos de medición.
Describir las líneas principales.
Elegir los datos.
Desarrollo del sistema de medición.
Interpretar los valores medidos.
Notificar dichos valores.

Términos y estructura

Breve descripción de qué añade el ISO/IEC 27004 con respecto al ISO/IEC 27001

Los términos y definiciones dados en esta norma están definidos dentro de la norma ISO/IEC 27000. El estándar ISO/IEC 27004 está estructurado de la siguiente manera:

Base lógica
Características – dentro de este apartado se define entre otras cosas qué monitorizar, quién y qué medir, cuándo monitorizarlo, medirlo y evaluarlo.
Tipos de medidas – en este apartado se describen los dos tipos de medidas fundamentales: de rendimiento y de efectividad.
Procesos – en este apartado se definen los tipos de procesos a seguir.

Además de eso posee 3 anexos (A, B, C):

Anexo A – describe un modelo de medida de la seguridad de la información lo que incluye la relación de los componentes del modelo de medida y los requerimientos del ISO/IEC 27001.
Anexo B – proporciona un amplio rango de ejemplos que se usan como guía.
Anexo C – proporciona un ejemplo más completo.

Véase también

ISO/IEC 27000-series
ISO/IEC 27001
ISO/IEC 27002 (anteriormente ISO/IEC 17799)
ISO/IEC 27003

Enlaces externos

https://www.iso.org/standard/73906.html Sitio web oficial del ISO/IEC 27000:2018
https://www.iso.org/standard/64120.html Sitio web oficial del ISO/IEC 27003:2017
http://www.iso27000.es/iso27000.html Portal con información en español sobre la serie 27000 y los sistemas de gestión de seguridad de la información.

Datos: Q5974091

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.