NORMA
ISA 401, SOBRE SISTEMAS DE INFORMACIÓN POR COMPUTADORA. SAS NO. 94 (THE EFFECT OF INFORMATION TECHNOLOGY ON
THE AUDITOR'S CONSIDERATION OF INTERNAL CONTROL IN A FINANCIAL STATEMENT AUDIT)
Dice que en una organización
que usa Tecnologías de Información, se puede ver afectada en uno de los
siguientes cinco componentes del control interno: el ambiente de control,
evaluación de riesgos, actividades de control, información, comunicación y
monitoreo además de la forma en que se inicializan, registran, procesan y
reporta las transacciones.
ISO 27001 (INFORMATION TECHNOLOGY – SECURITY
TECHNIQUES – INFORMATION SECURITY MANAGEMENT SYSTEMS – REQUIREMENTS)
ISO / IEC 27001: 2005 cubre todos los tipos de
organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro).
Especifica los requisitos para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la información documentada en el contexto de
los riesgos de negocio globales de la organización. Especifica los requisitos para
la aplicación de controles de seguridad adaptados a las necesidades de las
organizaciones individuales o partes de los mismos.
Está diseñado para garantizar la
selección de controles de seguridad adecuadas y proporcionadas para proteger
los activos de información y dar confianza a las partes interesadas.
ISO 27002 (INFORMATION TECHNOLOGY –
SECURITY TECHNIQUES – CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT)
Hemos
resumido en el siguiente diagrama la relación de requisitos específicos
localizados en cláusulas del estándar ISO/IEC 27001:2005 con aquellos
estándares que pueden servir de ayuda y/o desarrollo de posibles soluciones de
implantación:
Estas
relaciones han cambiado con la publicación de la nueva versión ISO/IEC
27001:2013 según la reorganización de las publicaciones ISO en la nueva
estructura de Anexo SL que, junto a los cambios en los contenidos, ha
desencadenado la actualización de las normas de la serie 27000. A continuación
se muestra un diagrama de relación de la reorganización de las cláusulas
principales de la versión 2005 a la publicada en 2013.
ISO/IEC 12207 (SOFTWARE LIFE CYCLE
PROCESS)
ISO / IEC 12207: 2008 establece un marco común para los procesos del ciclo de vida del software, con la terminología bien definida, que puede ser referenciado por la industria del software.
Contiene
los procesos, actividades y tareas que se van a aplicar durante la adquisición
de un producto de software o servicio y durante el suministro, desarrollo,
operación, mantenimiento y eliminación de productos de software.
El software
incluye la parte de software de firmware. ISO / IEC 12207: 2008 se aplica a la
adquisición de sistemas y productos de software y servicios, con el suministro,
desarrollo, operación, mantenimiento y eliminación de productos de software y
la parte de software de un sistema, bien sea interna o externamente a una
organización.
Se incluyen
aquellos aspectos de la definición del sistema necesario para proporcionar el
contexto para los productos y servicios de software. ISO / IEC 12207: 2008
también proporciona un procedimiento que puede ser empleado para definir,
controlar y mejorar los procesos del ciclo de vida del software. Los procesos,
actividades y tareas de la norma ISO / IEC 12207: 2008 - ya sea solos o en
combinación con la norma ISO / IEC 15288 - También se puede aplicar durante la
adquisición de un sistema que contiene el software.
