ISO 27000
ISO proporciona un marco para la normalización de la Gestión de la Seguridad de la Información con el conjunto de normativas ISO/IEC 27000.
Este conjunto de normativas son aplicables a empresas publicas o privadas, ya sean pequeñas, medias o grandes. Algunas de estas normativas están totalmente desarrolladas, mientras que otros están en proceso de desarrollo, con algún borrador público ya existente.
La normativa ISO 27001 determina la dinámica del funcionamiento de un SGSI (Sistema de Gestión de la Seguridad de la Información) de forma general, que se basará en unos documentos de seguridad donde se describirán los activos (conjuntos de información), los riesgos potenciales, y como afectan a estos riesgos a los activos inventariados.
La normativa ISO 27001 tiene un anexo En donde se describen los controles que se tienen que implementar sobre el sistema informático con el fin de poder evaluar regularmente cuál es el grado de cumplido de la normativa. Este anexo será sustituido por la ISO 27002.
Politica Plan-Do-Check-Act
ISO 27001 propone una estrategia de ciclo, PDCA (Pla-Do-Check-Act). La P y la D hacen referencia a la planificación (el·laboració de los documentos de seguridad) y al desarrollo de la normativa (con las actuaciones que se crean convenientes). La C (Check) hace referencia a la evaluación continuada de los controles propuestos al anexo A (no todos son obligatorios) y la A (Act) hace referencia a la actuación necesaria cuando las medidas de los controles no son satisfactorias. Normalmente la actuación (a) acabará cambiando la planificación (documentos) y volveremos a empezar con el clicle PDCA.