No hay un solo documento dentro de FISMA que se asigne a ISO27k1. En cambio, hay varias publicaciones que pueden usarse para lograr lo mismo que con ISO27k1. Tenga en cuenta que, en general, el alcance de ISO27k1 se centra en el negocio. Creo que es menos específico que FISMA, está más orientado a los negocios. Eche un vistazo a este documento desde ATSEC . A continuación se muestra un extracto relevante:
Aquí comparamos cómo los dos difieren en algunos aspectos fundamentales. los
El esquema desarrollado por NIST es utilizado por las agencias federales, sus
Los contratistas y los involucrados como parte de la infraestructura crítica.
Incluyendo servicios públicos (electricidad, nuclear, gas y petróleo, represas),
Transporte (aire, carretera, ferrocarril, puerto, vías navegables), Salud Pública
Sistemas / Servicios de Emergencia, Información y Telecomunicaciones,
Defensa Nacional, Banca y Finanzas, Correos y Envío,
Agricultura / Alimentos / Agua, y la industria química para reunirse
sus requisitos obligatorios en virtud de la ley. Hasta la fecha un gran número
Los sistemas han sido certificados y acreditados bajo el esquema. La suite
de los estándares de FISMA está a punto de completarse e incluye un riesgo
metodología de evaluación (SP 199) y una lista de controles detallada (SP
800-53) con criterios de evaluación objetivos (SP 800-53A). Originalmente
se caracterizó por adoptar un enfoque "de abajo hacia arriba" como
El enfoque técnico está firmemente en los aspectos operacionales y técnicos.
del sistema informático. El enfoque del marco está en los sistemas de TI, y
en su certificación y acreditación para operar.
- Publicación FIPS 199, Normas para la categorización de seguridad de la información federal y los sistemas de información
- Publicación FIPS 200, Requisitos mínimos de seguridad para la información federal y los sistemas de información federales
- Publicación especial NIST 800-18, Guía para el desarrollo de planes de seguridad para sistemas de información federales
- Publicación especial 800-37 de NIST, Guía para la certificación de seguridad y acreditación de sistemas de información federales
- Publicación especial NIST 800-30, Gestión de riesgos
- Publicación especial NIST 800-53, Controles de seguridad recomendados para sistemas de información federales
- Publicación especial 800-53A de NIST, Guía para evaluar los controles de seguridad en sistemas de información federales
- Publicación especial 800-59 de NIST, Guía para identificar un sistema de información como sistema de seguridad nacional
- Publicación especial 800-60 de NIST, Guía para mapear tipos de información y sistemas de información a categorías de seguridad
A medida que las normas y directrices relacionadas con FISMA han madurado, han
Destacó la importancia de un marco de gestión de riesgos que pueda ser
utilizado para aumentar el enfoque de conjunto de control de línea de base.
Por otro lado, la norma ISO / IEC 27001 está alineada con ISO / IEC
9001 (el Sistema de Gestión de Calidad) y se basa en las lecciones
aprendido en la carrera de ese estándar, satisfaciendo necesidades en el
ámbito no gubernamental para la escalabilidad y debe garantizar que se
El sistema de gestión de las organizaciones cumple con las mejores prácticas básicas.
sistema de gestión. El paradigma es que al asegurar que el
organización tiene un proceso de gestión de riesgos adecuadamente definido y
metodología de evaluación, entonces el tratamiento de los riesgos identificados
significa que se pueden aplicar controles apropiados y, por lo tanto, la garantía puede
Se puede obtener que los sistemas de la organización también estén asegurados adecuadamente.
Este estándar se enfoca en asegurarse de que la organización tenga un
Sistema de gestión capaz de gestionar la seguridad de la información, un
enfoque necesario para el ámbito no gubernamental donde una muy amplia
variedad de organizaciones necesitan ser atendidas. Por lo tanto, adopta más de
Un enfoque de "arriba hacia abajo". Las normas incluidas en la ISO / IEC 27000.
familia incluye:
- Principios y principios de ISO / IEC 27000
- Requisitos de ISO / IEC 27001 ISMS
- Controles de seguridad ISO / IEC 27002 (Código de práctica para la gestión de la seguridad de la información)
- ISO / IEC 27003 Guía de implementación del SGSI ISO / IEC 27004 Métricas y mediciones de la gestión de la seguridad de la información ISO / CEI
27005 riesgo SGSI