ISOIEC TR 27008

Reserve una demostración

diversa,internacional,ejecutivo,negocios,personas,trabajando,en,proyecto,en,sala de juntas

ISO/IEC TR 27008 – Directrices para la evaluación de controles de seguridad de la información

El mundo está en constante cambio; al igual que los riesgos para la reputación y los resultados finales de la empresa. Las organizaciones deben ser proactivas y se debe desarrollar una fuerte defensa en torno a Auditar los controles que respaldan la seguridad de la información.. Esto es para lo que se diseñó la norma ISO 27008.

Saltar al tema

¿Qué tipo de ayuda necesita de nosotros?

¿Nuevo en seguridad de la información?

Tenemos todo lo que necesitas para diseñar, construir e implementar tu primer SGSI.

Más información

¿Listo para transformar su SGSI?

Le ayudaremos a sacar más provecho del trabajo de seguridad de la información que ya ha realizado.

Más información

¿Quiere dar rienda suelta a su experiencia en seguridad de la información?

Con nuestro modelo de plataforma donde puedes construir el SGSI su organización realmente necesita.

Más información

¿Qué es ISO 27008??

ISO 27008 es un documento técnico que describe los procedimientos para realizar una auditoría de los controles de seguridad de la información de una organización. ISO 27008 juega un papel importante en las actividades de gestión asociadas con la implementación y operación de una Sistema de gestión de seguridad de la información (SGSI). 

Aunque está destinado a ser utilizado junto con ISO 27001 y ISO 27002, no es exclusivo de esos estándares y es aplicable a cualquier escenario que requiera una evaluación de los controles de seguridad de la información. ISO 27008 es esencial para organizaciones de todas las formas y tamaños, incluidas empresas públicas y privadas, agencias federales y organizaciones sin fines de lucro que realizan revisiones de gestión de información y pruebas de cumplimiento operativo.

ISO 27008 propone un marco integral de evaluación y revisión de la seguridad organizacional para la seguridad de la información controles para dar a las organizaciones la confianza de que sus controles se han implementado y gestionado correctamente y que la seguridad de su información sea "adecuada para su propósito".

Ayuda a infundir confianza en la organización. sistema de gestión de seguridad de la información controles

¿Qué es la seguridad de la información?

La seguridad de la información es un tema eso es más importante que nunca. Las noticias sobre filtraciones de datos y ciberataques son cada vez más numerosas, pero ¿cuál es el panorama general?

La seguridad de la información, a veces abreviada como InfoSec, es la práctica de proteger la información contra el acceso, uso, divulgación, interrupción, modificación, lectura, inspección, registro o destrucción no autorizados. La seguridad de la información se refiere a la protección de la información en cualquier forma cuando es mantenida o procesada por una organización..

La seguridad de la información cubre un territorio amplio e incluye los conceptos de confidencialidad, integridad y disponibilidad.

Las técnicas pueden incluir cifrado para evitar que personas no autorizadas vean la información; autorización a nivel de usuarios o programas individuales; seguridad de operaciones (OPSEC) para proteger la confidencialidad y la integridad de las operaciones dentro de una organización; marcos de autenticación para prevenir transacciones fraudulentas y detección de intrusiones para detectar intrusos en los sistemas informáticos.

ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.

Peter Risdón
director de seguridad de la información, viital

Reserva tu demostración

Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
Perry Bowles
Director Técnico ZIPTECH
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

¿Qué son los controles de seguridad de la información?

Los controles de seguridad de la información son medidas que se toman para mitigar las vulnerabilidades de seguridad de la información, como fallas de dispositivos, robo de datos, violaciones del sistema y modificaciones no deseadas de información o procesos digitales.

Estas Los controles de seguridad generalmente se aplican en respuesta a un riesgo de seguridad de la información. evaluación para garantizar mejor la disponibilidad, confidencialidad y privacidad de los datos y las redes.

Estos controles salvaguardan la confidencialidad, integridad y disponibilidad de la información en el campo de la seguridad de la información.

Tipos de controles de seguridad de la información

Los protocolos, procedimientos, cronogramas, dispositivos y aplicaciones de seguridad entran en la categoría de controles de seguridad de la información.

  1. Controles preventivos de seguridad, protocolos de seguridad que tienen como objetivo evitar accidentes de ciberseguridad
  2. Controles de seguridad de detectives destinado a identificar y alertar al personal de ciberseguridad sobre un intento de intrusión de ciberseguridad o una posible violación de la seguridad.
  3. Los controles de seguridad correctivos se utilizan después de un evento de ciberseguridad para ayudar a mitigar la pérdida de datos y la interrupción del dispositivo o la red y recuperar fácilmente sistemas y operaciones empresariales sensibles.

Además, las medidas de seguridad se pueden clasificar según su finalidad, de la siguiente manera:

Controles de acceso:

Estos incluyen monitores de entrada física, como guardias armados en las salidas de los edificios, cerraduras y vallas perimetrales.

Controles de procedimiento:

Conciencia de amenazas instrucción, capacitación sobre aplicación del marco de seguridad y procesos y procedimientos de respuesta a incidentes.

Controles técnicos:

Estos incluyen autenticación de cuenta multifactor en el punto de entrada (iniciar sesión) y controles de acceso lógico, aplicaciones antivirus y cortafuegos.

Controles de cumplimiento:

Estos incluyen reglas, marcos y requisitos de privacidad, así como enfoques y estándares de ciberseguridad.

ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.

daniel clementes

Gerente de Seguridad de la Información, Honeysuckle Health

Reserve una demostración

Mira a quién ya hemos ayudado

Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
Logotipo del cliente
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
Vivian Corona
Implementador líder de ISO 27001, 27701 y GDPR Aperian Global
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

¿Cuál es el propósito de la norma ISO 27008?

ISO 27008 fue creada para:

  • Ayuda en la preparación e implementación de auditorías del SGSI y el método de gestión de riesgos de la información;
  • Proporcionar directrices para auditar los controles de seguridad de la información de acuerdo con la guía de controles de ISO/IEC 27002;
  • Mejora las auditorías de ISMS optimizando las relaciones entre los procesos de ISMS y los controles necesarios;
  • Garantiza que los recursos de auditoría se utilicen de forma eficaz y eficiente.
  • Agrega valor y mejora la coherencia y el beneficio de las especificaciones ISO 27k al salvar la diferencia entre actualizar el SGSI en principio y, cuando sea necesario, verificar pruebas de los controles SGSI aplicados (por ejemplo, evaluar los elementos de seguridad de las operaciones comerciales, las estructuras de TI y las operaciones de TI). entornos en organizaciones de usuarios ISO27k);

¿Cuál es el alcance de la norma ISO 27008?

ISO 27008 proporciona orientación a todos los auditores sobre los controles de los sistemas de gestión de seguridad de la información. Guía el proceso de gestión de riesgos de la información así como evaluaciones internas, externas y de terceros de un SGSI demostrando la asociación entre el SGSI y los controles que lo acompañan.

Incluye directrices sobre cómo probar en qué medida se aplican los “controles del sistema de gestión de seguridad de la información” necesarios. Además, ayuda a las organizaciones que están implementando ISO/IEC 27001 o ISO/IEC 27002 a cumplir con los criterios de cumplimiento y servir como plataforma técnica para la gobernanza de la tecnología de la información.

¿Cómo funciona la norma ISO 27008?

ISO 27008 define procedimientos generales, no técnicas para ningún control o forma de control en particular.

Define revisiones sistemáticas y luego describe los diversos enfoques y formas de revisiones que son aplicables a los controles de seguridad de la información. Finalmente, analiza las prácticas necesarias para un proceso de revisión exitoso.

Relación con ISO 27001 e ISO 27002

ISO 27008 es muy similar a la ISO 27007 especificación de auditoría para sistemas de gestión de seguridad de la información.

Sin embargo, a diferencia de ISO 27007, que se centra en revisar los componentes del sistema de gestión de un SGSI tal como se define en ISO 27001, ISO 27008 se centra en auditar controles de seguridad de la información específicos, como los enumerados en ISO 27002 y detallados en Anexo A de ISO 27001.

ISO 27008 “se centra en evaluaciones de controles de seguridad de la información, incluido el cumplimiento normativo, frente a un estándar de implementación de seguridad de la información establecido por la organización.

Sin embargo, no pretende proporcionar directrices detalladas sobre las pruebas de cumplimiento con respecto al cálculo, la evaluación de riesgos o la auditoría de un SGSI, como se especifica en ISO 27004, ISO 27005, o 27007, respectivamente.

¿Quién debería implementar la ISO 27008?

ISO 27008 está destinada a auditores internos y externos encargados de la responsabilidad de revisar los controles de gestión de la información que forman parte de un SGSI. Sin embargo, sería beneficioso para cualquiera que realice un análisis o evaluación de los controles de un SGSI, ya sea como parte de un procedimiento de auditoría estructurado o de otro modo. El documento está dirigido principalmente a auditores de seguridad de la información que son responsables de verificar que los controles de seguridad de la información de una organización cumplen técnicamente con ISO/IEC 27002 y todos los demás requisitos de control utilizados por la organización.

ISO 27008 les ayudará de las siguientes maneras:

  • Reconocer y comprender el alcance de posibles problemas y debilidades en los controles de seguridad de la información.
  • Identificar y comprender las posibles consecuencias para la empresa de los riesgos y debilidades de la tecnología informática mal mitigados.
  • Priorizar las prácticas de control de riesgos relacionados con la gestión de la información.
  • Asegúrese de que las vulnerabilidades o defectos encontrados previamente o recientemente descubiertos se hayan resuelto suficientemente.

ISO 27008 es aplicable a una amplia gama de organizaciones, incluidas empresas públicas y privadas, agencias gubernamentales y organizaciones sin fines de lucro.

Vea las características de nuestra plataforma en acción

Una sesión práctica adaptada a tus necesidades y objetivos.

Reserva tu demostración

¿No ves lo que estás buscando?
Podemos construirlo fácilmente.
Consultas generales

El camino comprobado hacia el éxito de ISO 27001

Construido con todo lo que necesita para tener éxito con facilidad y listo para usar nada más sacarlo de la caja, ¡no requiere capacitación!
Políticas internas

Políticas y controles perfectos

Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento

Más información
gestión de riesgos

Gestión de riesgos sencilla

Aborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento

Más información
Informes

Medición e informes automatizados

Tome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.

Más información
Auditorías

Auditorías, acciones y revisiones

Simplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión

Más información
Enlace

Trabajo de mapeo y vinculación

Ilumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.

Más información
Activos

Fácil gestión de activos

Seleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad

Más información
Integración perfecta

Integración rápida y perfecta

Integraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento

Más información
Normas-Reglamentos

Otras normas y reglamentos

Agregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más

Más información
Cumplimiento

Garantía de cumplimiento del personal

Involucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento

Más información
de la Cadena de suministro

Gestión de la cadena de suministro

Gestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.

Más información
Partes interesadas

Gestión de Interesados

Mapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente

Más información
Privacidad

Fuerte privacidad y seguridad

Fuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas

Más información
 

« ISO 27005

ISO 27009 »

Vea nuestra sencilla y potente plataforma en acción
Más información

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más