ISO/IEC 27110

La Organización Internacional para la Normalización (ISO) es un organismo internacional, independiente y no gubernamental integrado por 163 entidades de normalización de todo el mundo. ISO/IEC 27000 familiy of standards (la serie de normas ISO/IEC 27000) ayuda a que las organizaciones garanticen la seguridad de sus recursos de información.

ISO/IEC 27110 “Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines”, especifica que todos los marcos de trabajo de seguridad cibernética deben tener los siguientes conceptos: Identificación, Protección, Detección, Respuesta y Recuperación. También se detalla la distinción entre seguridad de la información y seguridad cibernética. Estos lineamientos se alinean con el marco de trabajo de seguridad cibernética (CSF) del NIST.

• Identifica: El concepto de identificación aborda personas, políticas, procesos y tecnología cuando se define el alcance de las actividades.
• Protección: El concepto de protección puede contener muchas categorías y actividades relacionadas con la protección de los recursos contra el uso inadecuado intencional o no intencional.
• Detección: El concepto de detección puede incluir la supervisión de recursos tradicional y la detección de ataques.
• Respuesta: El concepto de respuesta puede incluir los conceptos tradicionales de respuesta ante incidentes, así como políticas, procedimientos y planes.
• Recuperación: Las actividades del concepto de recuperación definen las actividades relacionadas con el restablecimiento y la comunicación después de un evento de seguridad cibernética.

Las capacidades de administración de riesgos de seguridad de Google se auditan como parte de ISO/IEC 27001/27002 (Administración de la seguridad de la información), ISO/IEC 27017 (Seguridad en la nube), FedRAMP y NIST 800-53, que se alinean con el marco de trabajo conceptual y la orientación recomendada especificada en ISO/IEC 27110 (Identificación, Protección, Detección, Respuesta y Recuperación).