lunes, 10 de abril de 2006

Norma BS7799-3 "Guías para la gestión del riesgo en seguridad de la información"

Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.

Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo

BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.

La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
 
;