Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Copy of Copy of Untitled Prezi

No description
by

RAUL PULIDO

on 12 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Copy of Copy of Untitled Prezi

La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en todos los proceso de una compañía. La revisión más reciente de esta norma fue publicada en 2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2. Es posible certificar lo proceso de una compañía frente al estándar ISO 27001 lo que implica que una entidad de certificación independiente (acreditada a nivel mundial o por lo menos en la región) confirma que la seguridad de la información ha sido establecida, implantada, mantenida y mejorada en esa organización acorde con lo estipulado en n la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento; aquí se puede ver la cantidad de certificados en los últimos años :

Capacitación Norma ISO 27001
La Norma ISO 27001 es un conjunto de normas dedicadas a la implantación de sistemas de gestión de
seguridad de la información

INTRODUCCIÓN
ALCANCE DE LA NORMA
NORMA ISO 27001
Brindar a los participantes la capacidad de validar e identificar el cumplimiento de los procesos en una compañía, en cuanto a si sus datos e información sobre clientes y proveedores es manejada y administrada de forma segura, mediante la aplicación de la norma ISO 27001:2013 Sistemas de Gestión de Seguridad de la Información (SGSI).
Esta capacitación tiene como objetivo sensibilizar y dar a conocer los aspectos claves que se deben tener en seguridad de la información, basados en la Norma Técnica ISO27001:2013, con el fin de alinear los objetivos de la seguridad de la información a los objetivos corporativos de las organizaciones, en un marco de gobierno corporativo y como primer aspecto en la construcción de un sistema de gestión integral que lo involucre.
Que es un SGSI?
CICLO PHVA
NORMA ISO 27001
HACER
VERIFICAR
ACTUAR
PLANEAR
La norma ISO 27001 especifica las condiciones para establecer, implementar, mantener y mejorar el sistema
de gestión de seguridad de la información en la organización
El SGSI es un conjunto de políticas de administración de la información; un SGSI debe asegurar la confidencialidad, integridad y disponibilidad de la información y debe seguir siendo eficiente por largo tiempo adaptándose a los cambios internos y externos de la organización.
OBJETIVOS
Desarrollo de la Norma
Para establecer el SGSI una organización debe:


Para implementar el SGSI una organización debe:


Respecto al Seguimiento y revisión del SGSI una organzacion debe:
Para el mantenimiento y mejora del SGSI una organización debe
:
Beneficios de el SGSI
COMPENDIO DE LA NORMA
Ver presentación SGI
ISO 27001
INTRODUCCION.
0.1. Generalidades.
0.2. Compatibilidad con otras normas de sistemas de Gestión.
1. Objeto y campo de Aplicación
2. Referencia Normativa.
3. Términos y definiciones.
4. Contexto de la Organización
4.1 Conocimiento de la organización y de su contexto
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance del sistema de gestión de seguridad de la información.
5. Liderazgo
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, Responsabilidades, y Autoridades en la Organización
6. Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.2 Objetivos de Seguridad de la Información y planes para lograrlos
7. Soporte
7.1 Recursos
7.2 Competencia
7.3 Toma de consecuencia
7.4 Comunicación
7.5 Información documentada
8 Operación
8.1 Planificación y control de Operacional
8.2 Valoración de riesgos de la seguridad de la información
8.3 Tratamiento de riesgos de la seguridad de la información
9. Evaluación del desempeño

9.1 Seguimiento, medición, análisis, y evaluación
9.2 Auditoría interna
9.3 Revisión por la Dirección
10. Mejora
10.1 No conformidades y acciones correctivas
10.2 Mejora Continua



SGI
En este manual se encuentran todos aquellos requisitos del Sistema Integrado de Gestión y se definen las disposiciones y procesos establecidos por la organización para el desarrollo del mismo. Relaciona las disposiciones comunes de los sistemas que la organización ha decidido adoptar (27001, 9001, 20000, etc) de acuerdo con los requisitos y las caracterizaciones que aplican a cada proceso en particular.

Es un conjunto de actividades relacionadas que transforman recursos de entrada en producto o servicio para el cliente (interno o externo).

Establece las directrices, metodologías y elementos necesarios para realizar algunas de las actividades de los procesos, asegurando el cumplimiento de políticas internas, externas y de los requisitos.

Son las acciones emprendidas en toda la organización, para incrementar la eficacia, eficiencia y efectividad del Sistema Integrado de Gestión y suministrar beneficios agregados tanto para la organización como para sus clientes.

Los indicadores son factores para establecer el logro y el cumplimiento de la misión, objetivos, metas, programas o políticas de un determinado proceso o estrategia; por esto podemos decir que son ante todo la información que agrega valor y no simplemente un dato.

Acción tomada para eliminar una no conformidad detectada.

Acción tomada para eliminar la causa de una no conformidad detectada u otra situación indeseable

Acción tomada para eliminar la causa de una no conformidad potencial u otra situación indeseable que puede Llegar a ocurrir..

Es una oportunidad detectada que permite ofrecer una mejora sustancial a los procesos, productos, servicios, procedimientos, ambiente
de trabajo, etc.

Producto o servicio que no cumple con los mínimos estándares de calidad definidos por las partes interesadas.

ANEXO
ANEXO 5
ANEXO 6
ANEXO 7
ANEXO 8
ANEXO 9
ANEXO 10
ANEXO 11
ANEXO 12
ANEXO 13
ANEXO 14
ANEXO 15
ANEXO 16
ANEXO 17
ANEXO 18
1. OBJETO Y CAMPO DE APLICACIÓN
Esta Norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información dentro del contexto de la organización. La presente Norma incluye también los requisitos para la valoración y el tratamiento de riesgos de seguridad de la información, adaptados a las necesidades de la organización. Los requisitos establecidos en esta Norma son genéricos y están previstos para ser aplicables a todas las organizaciones, independientemente de sus tipo, tamaño o naturaleza.
Cuando una organización declara conformidad con esta Norma. No es aceptable excluir cualquiera de los requisitos especificados de los numerales 4 al 10.

2. REFERENCIAS NORMATIVAS

Los siguientes documentos, en parte o en su totalidad, se referencian normativamente en este documento y son indispensables para su aplicación. Para referencias fechadas sólo se aplica la edición citada. Para referencias no fechadas se aplica la edificó más reciente del documento referenciado (Incluida cualquier enmienda).


3. TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento se aplican los términos y definiciones presentados en la norma ISO/IEC 27000.

4.1. CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar las cuestiones externas e internas que son pertinenetes para su propósito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información.
NOTA La determinación de estas cuestiones hace referencia a establecer el contexto externo e interno de la organización, considerado en el numeral 5.3 de la NTC-ISO 31000:2011

4.2. COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

La organización debe determinar:

a) Las partes interesadas que son pertinentes al sistema de gestión de la seguridad de la información; y
b) Los requisitos de estas partes interesadas pertinentes a seguridad de la información

NOTA: Los requisitos de las partes interesadas pueden incluir los requisitos legales y reglamentarios, y las obligaciones contractuales.

4.3. DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance.

a) Las cuestiones externas e internas referidas en el numeral 4.1 y
b) Los requisitos referidos en el numeral 4.2; y
c) Las interfaces y dependencias entre las actividades realizadas por la organización, y las que realizan otras organizaciones.
El alcance debe estar disponible como información documentada
4.4. SISTEMA DE GESTION DE LA SERUIDAD DE LA INFORMACIÓN


La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información, de acuerdo con los requisitos de esta Norma.

5. LIDERAZGO

5.1. LIDERAZGO Y COMPROMISO


La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información.

a) Asegurando que se establezcan la política de la seguridad de la información y los objetivos de la seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización;
b) Asegurando la integración de los requisitos del sistema de gestión de la seguridad de la información en los procesos de la organización;
c) Asegurando que los recurso necesarios para el sistema de gestión de la seguridad de la información estén disponibles;
d) Comunicando la importancia de una gestión de la seguridad de la información eficaz y de la conformidad con los requisitos del sistema de gestión de la seguridad de la información;
e) Asegurando que el sistema de gestión de la seguridad de la información logre los resultados previstos;
f) Dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestión de la seguridad de la información;
g) Promoviendo la mejora continua, y
h) Apoyando otros roles pertinentes de la dirección, para demostrar su liderazgo aplicado a sus áreas de responsabilidad.

5.2. POLÍTICA
La alta dirección debe establecer una política de la seguridad de la información que:
a) Sea adecuada al propósito de la organización
b) Incluya objetivos de seguridad de la información (Véase el numeral 6.2) o proporcione el marco de referencia para el establecimiento de los objetivos de la seguridad de la información;
c) Incluya el compromiso de cumplir los requisitos aplicable relacionados con la seguridad de la información;
d) Incluya el compromiso de mejora continua del sistema de gestión de la seguridad de la información.

La política de la seguridad de la información debe:

e) Estar disponible como información documentada;
f) Comunicarse dentro de la organización; y
g) Estar disponible para las partes interesadas, según sea apropiado.

5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

La alta dirección debe asegurarse de que las responsabilidad y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) Asegurarse de que el sistema de gestión de la seguridad de la información se confirme con los requisitos de esta Norma;
b) Informar a la alta dirección sobre el desempeño del sistema de gestión de la seguridad de la información.
Nota: La alta dirección también puede asignar responsabilidad y autoridades para informar sobre el desempeño del sistema de gestión de la seguridad de la información dentro de la organización.


7.2. COMPETENCIA

La organización debe:

a) Determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta su desempeño de la seguridad de la información, y
b) Asegurar se de que estas personas sean competentes, basándose en la educación, formación o experiencia adecuadas;
c) Cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas; y
d) Conservar la información documentada apropiada, como evidencia de la competencia.

NOTA Las acciones aplicables pueden incluir, por ejemplo; la formación, la tutoría o la reasignación de las personas empleadas actualmente; o la contratación de personas competentes.
7.3. TOMA DE CONCIENCIA

Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia de:

a) La política de la seguridad de la información;
b) Su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluyendo los beneficios de una mejora del desempeño de la seguridad de la información; y
c) Las implicaciones de la no conformidad con los requisitos del sistema de gestión de la seguridad de la información.

7.4. COMUNICACIÓN
La organización debe determinar la necesidad de comunicaciones internas y externas pertinentes al sistema de gestión de la seguridad de la información, que incluyan;

a) El contendió de la comunicación;
b) Cuándo comunicar;
c) A quien comunicar;
d) Quien debe comunicar; y
e) Los procesos para lleva a cabo la comunicación.




7.5. INFORMACIÓN DOCUMENTADA

7.5.1. Generalidades
El sistema de gestión de la seguridad de la información de la organización debe incluir:
a) La información documentada requerida por esta Norma; y
b) La información documentada que la organización ha determinado que es necesaria para la eficacia del sistema de gestión de la seguridad de la información.
NOTA El alcance de la información documentada para un sistema de gestión de la seguridad de la información puede ser diferente de una organización a otra, debido a:
a) El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios,
b) La complejidad de los procesos y sus interacciones, y
c) La competencia de las personas.

7.5.2. Creación y actualización

Cuando se crea y actualiza información documentada, la organización debe asegurarse de que lo siguiente sea apropiado:

a) La identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
b) El formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte ( por ejemplo, papel, electrónico);
c) La revisión y aprobación con respecto a la idoneidad y adecuación.

7.5.3. Control de la información documentada

La información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para asegurar se de que:
a) Esté disponible y adecuada para su uso, donde y cuando se necesite; y
b) Esté protegida adecuadamente ( por ejemplo, contra pérdida de la confidencialidad , uso inadecuado, o pérdida de integridad)
Para el control de la información documentada, la organización debe tratar las siguientes actividades, según sea aplicable:

c) Distribución, acceso, recuperación y uso;
d) Almacenamiento y preservación, incluida la preservación de la legibilidad;
e) Control de cambio (por ejemplo, control de versión); y
f) Retención y disposición.

La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación del sistema de gestión de la seguridad de la información, se debe identificar y controlar, según sea adecuado.

NOTA El acceso implica una decisión concerniente al premiso solamente para consultar la información documentado, o el permiso y la autoridad para consultar y modificar la información documentada etc.

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL OPERACIONAL

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para implementar las acciones determinadas en el numeral 6.1. La organización también debe implementar planes lograr los objetivos de la seguridad de la información determinados en el numeral 6.2.

La organización mantener información documentad en la medida necesaria para tener la confianza en que los proceso se han llevado a cabo según lo planificado.

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario.

La organización debe asegurar contratados externamente estén controlados.

8.2. VALORACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

La organización debe llevar a cabo valoraciones de riesgo de la seguridad de la información a intervalos planificados o cuando se propongan u ocurran cambios significativos, teniendo en cuenta los criterios establecidos en el números 6.1.2 a).

La organización debe conservar información documentada de los resultados de las valoraciones de riesgos de la seguridad de la información.

8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe implementar el plan de tratamiento de riesgos de la seguridad de la información.

La organización debe conservar información documentada de los resultados del tratamiento de riesgos de la seguridad de la información.


9. EVALUACION DEL DESEMPEÑO

9.1. SEGIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.

La organización debe determinar

a) A que es necesario hacer seguimiento y qué es necesario medir, incluidos los proceso y controles de la seguridad de la información.
b) Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos;

NOTA Para ser considerados válidos, los métodos seleccionados deberían producir resultados comprables y reproducibles.
c) Cuándo se deben llevar a cabo el seguimiento y la medición;
d) Quién debe llevar a cabo el seguimiento y la medición;
e) Cuándo se deben analizar y evaluar los resultados del seguimiento y de la medición; y
f) Quién debe analizar y evaluar estos resultados.
La organización debe conservar información documentada apropiada como evidencia de los resultados del monitoreo y de la medición.
9.2. AUDITORIA INTERNA
La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de la seguridad de la información:
a) Es conforme con:

1) Los propios requisitos de la organización para su sistema de gestión de la seguridad de la información ; y
2) Los requisitos de esta Norma;

b) Está implementado y manteniendo eficazmente.

.

10. MEJORA

10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Cuando ocurra una no conformidad, la organización debe:
a) Reaccionar ante la no conformidad, y según sea aplicable

1) Tomar acciones para controlarla y corregirla, y
2) Hacer frente a las consecuencias;

b) Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:

1) La revisión de la no conformidad
2) La determinación de las causas de la no conformidad, y
3) La determinación de si existen no conformidades similares, o que potencialmente podrían ocurrir;
c) Implementar cualquier acción necesaria
d) Revisar la eficacia de las acciones correctivas tomadas y
e) Hacer cambios al sistema de gestión de la seguridad de la información, si es necesario
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
La organización debe conservar información documentada, como evidencia de:
f) La naturaleza de las no conformidades y cualquier posterior tomada; y
g) Los resultados de cualquier acción correctiva


10.2. MEJORA CONTINUA

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del sistema de gestión de la seguridad de la información.

COMPENDIO DE LA NORMA
NORMA 19011
NORMA ISO 19011. DIRECTRICES PARA LA AUDITORÍA EN LOS SISTEMAS DE GESTIÓN
La norma ISO 19011:2011 La ISO 19011 Es una norma internacional que proporciona orientación para la gestión de programas de auditoría, la realización de auditorías internas o externas y sobre las competencias y evaluación de los auditores.

¿Qué es una auditoría? (ISO 19011)
Proceso sistemático, independiente y documentado
para obtener evidencia de auditoría y evaluarla de
manera objetiva para determinar hasta qué punto
cumple con los criterios.

Principios de auditoría
Integridad de los auditores:
El fundamento del profesionalismo
Presentación ecuánime :
Obligación de reportar con veracidad y exactitud
Debido cuidado profesional:
La aplicación de diligencia y juicio al auditar
Confidencialidad:
Seguridad de la información
Independencia:
La base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría
Enfoque basado en la evidencia:
El método racional para alcanzar conclusiones de auditoría fiables y reproducibles en un proceso de auditoría sistemático

¿
Dónde se especifican los requisitos? (FUENTE: tema 2 Bloque 2 Applusnet Lead Auditor)

 La norma ISO/IEC 27001.
 La implantación de algún control de seguridad aplicable del Anexo A de ISO/IEC 27001.
 La política de Seguridad de la Organización.
 Los procesos definidos en el alcance, o los procedimientos del SGSI existentes.
 La efectividad de los procesos y actividades desempeñados por la organización.
 Los requisitos legales, regulatorios o contractuales que aplican a la organización.


CAPÍTULO 5
Proporciona orientación sobre la gestión de un programa de auditoria en el cual se debería incluir al menos la información y los recursos necesarios para organizar y realizar sus auditorías de forma eficaz y eficiente dentro de los periodos de tiempo especificados, incluyendo :

5.2 Establecer los objetivos del programa de auditoría

5.3 Establecer el programa de auditoría

5.4 Implementación del programa de auditoría

5.5 Monitoreo del programa de auditoría

5.6 Revisión y mejora del programa de auditoría


CAPÍTULO 6 
recomienda las actividades para la preparación y realización de la auditoría como parte de un programa de auditoría.

6.2 Inicio de la auditoría

6.3 Preparación de las actividades de auditoría

6.4 Realización de las actividades de auditoría

6.5 Preparación y distribución del reporte de auditoría

6.6 Finalización de la auditoría

6.7 Realización de auditoría de seguimiento

CAPÍTULO 7
Provee lineamientos relacionados con la competencia y evaluación de los auditores de sistemas de gestión y de los equipos de auditoría

7.2 Determinación de competencias de auditor para suplir las necesidades del programa de
Auditoría

7.3 Establecimiento de criterios de evaluación de auditores

7.4 Seleccionando el método apropiado de evaluación de auditores

7.5 Realización de evaluación de auditores

7.6 Mantenimiento y mejora de las competencias de los auditores


6.1.3. Tratamiento de riesgos de la seguridad de la información
La organización debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de la información, teniendo en cuenta los resultados de la valoración de riesgos;
b) Determinar todos los controles que sean necesarios para implementar las opciones escogidas para el tratamiento de riesgos de la seguridad de la información;

NOTA Las organizaciones pueden diseñar los controles necesarios, o identificarlos de cualquier fuente.

c) Comparar los controles determinados en 6.1.3 b) con los Anexos A, y verificar que no sean omitidos controles necesarios.


Nota 1. El Anexo A contiene una lista amplia de objetivos de control y controles. Se invita a los usuarios de esta Norma a consultar Anexo A, para asegurar que no se pasen por alto los controles necesarios.

Nota 2. Los objetivos de control están incluidos implícitamente en los controles escogidos. Los objetivos de control y los controles adicionales.

d) Producir una declaración de aplicabilidad que contenga los controles necesarios (véanse el numeral 6.1.3 b) y c)) y la justificación de las inclusiones, ya sea que se implemente o no. Y la justificación para las exclusiones de los controles del Anexo A;
e) Formular un plan de tratamiento de riesgos de la seguridad de la información; y
f) Obtener, de parte de los dueños de los riesgos, la aprobación del plan de tratamiento de riesgos de la seguridad de la información, y la aceptación de los riesgos residuales de la seguridad de la información.
La organización debe conservar información documentada acerca del proceso de tratamiento de riesgos de la seguridad de la información.
NOTA El proceso de valoración y tratamiento de riesgos de la seguridad de la información que se presenta en esta Norma se alinea con los principios y directrices genéricas suministradas en la ISO 31000(5).

6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

6.1.1. Generalidades
Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determinar los riesgos y oportunidades que es necesario tratar, con el fin de:
a) Asegurarse de que el sistema de gestión de la seguridad de la información pueda lograr sus resultados previstos;
b) Prevenir o reducir efectos indeseados; y
c) Lograr la mejora continua.

La organización debe planificar:

d) Las acciones para tratar estos riesgos y oportunidades; y
e) La manera de:

1) Integrar e implementar estas acciones en sus procesos del sistema de gestión de la seguridad de la información,
2) Evaluar la eficacia de las acciones.

6.1.2. Valoración de riesgos de seguridad de la información
La organización debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información que:
a) Establezca y mantenga criterios de riesgo de la seguridad de la información que incluyan:

1) Los criterios de aceptación de riesgos; y
2) Los criterios para realizar valoraciones de riesgos de la seguridad de la información;

b) Asegure que las valoraciones repetidad de riesgos de la seguridad de la información produzcan resultados consistentes, válidos y comparables;
c) Identifique los riesgos de la seguridad de la información:

1) Aplicar el proceso de valoración de riesgos de al seguridad de la información para identificar los riesgos asociados con la pérdida de confidencialidad, de integridad y de disponibilidad de información dentro del alcance del sistema de gestión de la seguridad de la información; e
2) Identificar a los dueños de los riesgos;

6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS


La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes.
Los objetivos de seguridad de la información deben:

a) Ser coherentes con la política de seguridad de la información;
b) Ser medibles (si es posible)
c) Tener en cuenta los requisitos de la seguridad de la información aplicables, y los resultados de la valoración y del tratamiento de los riesgos;
d) Ser comunicados; y
e) Ser actualizados, según sea apropiado.

La organización debe conservar información documentada sobre los objetivos de la seguridad de la información.
Cuanto se hace la planificación para lograr sus objetivos de la seguridad de la información, la organización debe determinar:
f) Lo que se va a hacer;
g) Que recursos se requerirán;
h) Quien será responsable;
i) Cuándo se finalizará; y
j) Cómo se evaluarán los resultados.

d) Analice los riesgos de la seguridad de la información:

1) Valorar las consecuencias potenciales que resultaran si se materializan los riesgos identificados en 6.1.2 c) 1;
2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 c) 1); y
3) Determinar los niveles de riesgo;


e) Evalúe los riesgos de seguridad de la información:

1) Comparar los resultados del análisis de riesgos con los criterios de riesgos establecidos en 6.1.2 a) y
2) Priorizar los riesgos analizados para el tratamiento de riesgos.
La organización debe conservar información documentada acerca del proceso de valoración de riesgos de la seguridad de la información:
COMPENDIO DE LA NORMA
La organización debe:

c) Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación, y la elaboración de informes. Los programas de auditoría deben tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorias previas;
d) Para cada auditoría, definir los criterios y el alcance de ésta;
e) Seleccionar los auditores y llevar a cabo auditoria para asegurarse de la objetividad y la imparcialidad del proceso de auditoría;
f) Asegurarse de que los resultados de las auditorias se informa a la dirección pertinente; y
g) Conservar información documentada como evidencia de la implementación del programa de auditoria y de los resultados de ésta.
NOTA Para mayor información consultar las normas SNTC-ISO 19011 Y NTC- ISO 27007
9.3. REVISIÓN POR LA DIRECCIÓN
La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia continuas
La revisión por la dirección debe incluir consideraciones sobre:
a) El estado de las acciones con relación a las revisiones previas por la dirección;
b) Los cambios en las cuestiones externas e internas que sean pertinentes al sistema de gestión de la seguridad de la información;
c) Retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias relativas a:

1) No conformidades y acciones correctivas;
2) Seguimiento y resultados de las mediciones;
3) Resultados de la auditoria; y
4) Cumplimiento de los objetivos de la seguridad de la información;
d) Retroalimentación de las partes interesadas;
e) Resultados de la valoración de riesgos y estado de plan de tratamiento de riesgos; y
f) Las oportunidades de mejora continua
Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestión de seguridad de la información.
La organización debe conservar información documentada como evidencia de los resultados de las revisiones por la dirección

VIDEO


Raúl Pulido Téllez
Gerente General
raul.pulido@wexler.com.co
www.wexler.com.co
Cel. + 57 3187074243


Raúl Pulido Téllez
Gerente General
raul.pulido@wexler.com.co
www.wexler.com.co
Cel. +57 3187074243

FUENTE : inteco
Full transcript