Norma ISO 27004:2009 – criterios de medición de la eficacia de un SGSI

Norma ISO 27004:2009 – criterios de medición de la eficacia de un SGSI
Por favor, califique este artículo.

A principios de Diciembre ha sido publicado por la International Organization for Standardization (ISO) el estándar ISO 27004. Efectivamente, la norma alcanzó el 7 de Diciembre la fase “60.60”, que en la escala de la Organización significa la publicación de la misma.

  • Information security measurement overview: Consideraciones generales sobre la medición de la seguridad, factores de éxito y modelo de medición.
  • Management responsibilities: Responsabilidades de la Dirección para medir la eficacia del SGSI.
  • Measures and measurement development: Desarrollo de métricas y forma de medir.
  • Measurement operation: Actividades imprescindibles para asegurar que los resultados obtenidos proporcionan información precisa para la medición de la eficacia del sistema y para la adopción de acciones de mejora.
  • Data analysis and measurement results reporting: Análisis de los datos recogidos y reporte y comunicación de los mismos.
  • Information Security Measurement Programme Evaluation and Improvement: Revisión periódica del programa de medición de cara a verificar su corrección y vigencia. así como las mejoras a implementar en el mismo.

Por último, el estandar incluye dos anexos informativos (no normativos). El primero de ellos es una plantilla para la elaboración de métricas, mientras que en el segundo podemos encontrar interesantes ejemplos de métricas realizadas con la mencionada plantilla. Esta es sin duda una gran aportación de la norma que será de gran ayuda a la hora de definir métricas para nuestro SGSI.

Áudea Seguridad de la Información
Manuel Díaz Sampedro
www.audea.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *