Lo acabo de ver en el blog de Javier Cao.
La gente de BSI ha publicado muy recientemente la revisión del 2006 de la tercera parte de esta conocida norma, piedra angular de los sistemas de gestión de seguridad de la información. El título original es Information security management systems. Guidelines for information security risk management y según la nota de prensa de BSI, está orientada a la identificación, evaluación, tratamiento y gestión de los riesgos inherentes a la seguridad de la información, como procesos clave si los despliegues corporativos basados en este estándar.
Estos procesos clave de la seguridad relacionados con la gestión del riesgo, como bien sabemos, se especifican en el estándar internacional ISO/IEC 27001:2005, y esta extensión BS7799-3:2006 lo que hace es proporcionar asistencia precisamente en la gestión del riesgo, en lo relativo al análisis y tratamiento de los riesgos, toma de decisiones, revisión del análisis y la gestión del riesgo y monitorización de los perfiles de riesgo, con un adecuado perfil de controles, y todo con un foco principal de visión, la ubicación o contextualización de la gestión del riesgo dentro de la gestión corporativa, así como el cumplimiento de estándares y regulaciones que tengan que ver con el riesgo. En resumen, todo lo necesario para definir el ciclo de la gestión del riesgo.
Javier resume esto en una acertada frase: no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad. Cuánta razón tiene :)
El precio: 70 libras esterlinas (ISBN 0 580 47247)