ISO/IEC 30111
ISO/IEC 30111 es una norma internacional que describe el manejo adecuado de la información de posibles vulnerabilidades en productos. Proporciona un marco para cómo las organizaciones deben gestionar el proceso de recibir, investigar y resolver problemas relacionados con vulnerabilidades en un producto o servicio en línea.
Solicitar una demostración de Secureframe Custom FrameworksDefinición y propósito
El propósito de ISO/IEC 30111 es establecer pautas para los procesos de manejo de vulnerabilidades. Ayuda a las organizaciones a gestionar vulnerabilidades de manera consistente y eficaz, asegurando que sean evaluadas, priorizadas y mitigadas o corregidas de manera oportuna, reduciendo así el riesgo para los usuarios de productos o servicios.
Organismo rector
La norma es desarrollada y mantenida por la Organización Internacional de Normalización (ISO) en colaboración con la Comisión Electrotécnica Internacional (IEC).
Última actualización
ISO/IEC 30111 se publicó inicialmente en 2013. Fue retirada y reemplazada por ISO/IEC 30111:2019.
Aplicable a
ISO/IEC 30111 es aplicable a cualquier organización que desarrolle, mantenga o soporte productos o servicios en línea. Esto incluye desarrolladores de software, proveedores de servicios de TI y fabricantes de tecnología en varios sectores.
Controles y requisitos
La norma proporciona orientación sobre varios aspectos del manejo de vulnerabilidades, incluyendo:
- Recepción de informes: Cómo aceptar y manejar informes entrantes de posibles vulnerabilidades.
- Investigación: Pasos para verificar, replicar y evaluar el impacto de las vulnerabilidades reportadas.
- Resolución de problemas: Desarrollo e implementación de soluciones para abordar vulnerabilidades verificadas.
- Lanzamiento y comunicación: Procesos para lanzar parches o actualizaciones y comunicar con las partes interesadas, incluyendo clientes y el público.
- Bucle de retroalimentación: Mecanismos para aprender de las vulnerabilidades para mejorar productos y procesos.
Por favor, consulte la documentación oficial del ISO/IEC 39111:2019 para más detalles sobre los controles y requisitos.
Tipo de auditoría, frecuencia y duración
Las auditorías para el cumplimiento de ISO/IEC 30111 típicamente implican revisar los procedimientos de manejo de vulnerabilidades de una organización, documentación y registros para asegurar que se alineen con los requisitos de la norma. La frecuencia de estas auditorías puede basarse en la estrategia de gestión de riesgos de la organización, la naturaleza de los productos o servicios que ofrece, o como parte de controles regulares de cumplimiento.
La duración depende del tamaño de la organización, la complejidad de sus productos o servicios y la profundidad de la auditoría.