Fondonorma 2006
Páginas: 55 (13745 palabras)
Publicado: 1 de diciembre de 2010
NORMA
VENEZOLANA
FONDONORMA
TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS.
FONDONORMA-ISO/IEC 27001:2006 (ISO/IEC 27001:2005)
FONDO PARA LA NORMALIZACIÓN Y CERTIFICACIÓN DE LA CALIDAD
© FONDONORMA 2006
FONDONORMA-ISO/IEC 27001:2006
PRÓLOGO La presente norma es una adopción de la Norma ISO/IEC 27001:2005,fue considerada de acuerdo a las directrices del Comité Técnico de Normalización FONDONORMA CT23 Gestión de la Calidad, siendo aprobada por FONDONORMA en la reunión del Consejo Superior Nº 2006-04 de fecha 30/08/2006. En la adopción de esta Norma participaron las siguientes entidades: PDVSA; CVG Ferrominera del Orinoco; ITECA; IUTLEAC; SINCOR; Cervecería Polar; CIV.
FONDONORMA NORMA VENEZOLANAISO/IEC 27001:2006 TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE ISO/IEC 27001:2005 SEGURIDAD. SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS.
0 INTRODUCCIÓN
0.1 Generalidades Esta Norma ha sido preparada para proporcionar un modelo para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Laadopción de un SGSI debería ser una decisión estratégica para una organización. El diseño y la implementación de un SGSI de la organización esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos empleados y el tamaño y la estructura de la organización. Éstos y sus sistemas de soporte se espera que cambien con el tiempo. Se espera que la implementación de un SGSIsea adaptado de conformidad con las necesidades de la organización, por ejemplo una situación simple requiere una solución simple del SGSI. Esta Norma puede ser utilizada por partes interesadas internas y externas para evaluar la conformidad. 0.2 Enfoque basado en procesos Esta norma adopta un enfoque basado en procesos para establecer, implementar, operar, realizar seguimiento, revisar, mantener ymejorar el SGSI de una organización. Una organización necesita identificar y gestionar muchas actividades a fin de funcionar eficazmente. Cualquier actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados, se puede considerar como un proceso. Frecuentemente el resultado de un proceso constituye directamente el elemento deentrada del siguiente proceso. La aplicación de un sistema de procesos dentro de la organización, junto con la identificación e interacciones de estos procesos, así como su gestión, puede denominarse como "enfoque basado en procesos". El enfoque basado en procesos para la gestión de seguridad de la información presentado en esta Norma anima a sus usuarios a enfatizar la importancia de: a) lacomprensión de los requisitos de seguridad de la información de una organización y la necesidad de establecer la política y objetivos para la seguridad de la información; b) implementar y operar controles para dirigir los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización; c) realizar seguimiento y revisar el desempeño yeficacia del SGSI; y d) la mejora continua con base en mediciones objetivas. Esta Norma adopta el modelo "Planificar - Hacer - Verificar - Actuar" (PHVA), el cual es aplicado para estructurar todos procesos del SGSI. La Figura 1 ilustra cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de la información de las partes interesadas y a través de las acciones y procesos necesariosproduce los resultados de seguridad de la información que cumplen esos requisitos y expectativas. La Figura 1 también ilustra los vínculos en los procesos presentados en los Capítulos 4, 5, 6, 7 y 8. La adopción del modelo de PHVA también reflejará los principios según lo precisado en las Directrices OECD (2002)1 que gobiernan la seguridad de los sistemas y redes de información. Esta Norma provee...
VENEZOLANA
FONDONORMA
TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS.
FONDONORMA-ISO/IEC 27001:2006 (ISO/IEC 27001:2005)
FONDO PARA LA NORMALIZACIÓN Y CERTIFICACIÓN DE LA CALIDAD
© FONDONORMA 2006
FONDONORMA-ISO/IEC 27001:2006
PRÓLOGO La presente norma es una adopción de la Norma ISO/IEC 27001:2005,fue considerada de acuerdo a las directrices del Comité Técnico de Normalización FONDONORMA CT23 Gestión de la Calidad, siendo aprobada por FONDONORMA en la reunión del Consejo Superior Nº 2006-04 de fecha 30/08/2006. En la adopción de esta Norma participaron las siguientes entidades: PDVSA; CVG Ferrominera del Orinoco; ITECA; IUTLEAC; SINCOR; Cervecería Polar; CIV.
FONDONORMA NORMA VENEZOLANAISO/IEC 27001:2006 TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE ISO/IEC 27001:2005 SEGURIDAD. SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS.
0 INTRODUCCIÓN
0.1 Generalidades Esta Norma ha sido preparada para proporcionar un modelo para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Laadopción de un SGSI debería ser una decisión estratégica para una organización. El diseño y la implementación de un SGSI de la organización esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos empleados y el tamaño y la estructura de la organización. Éstos y sus sistemas de soporte se espera que cambien con el tiempo. Se espera que la implementación de un SGSIsea adaptado de conformidad con las necesidades de la organización, por ejemplo una situación simple requiere una solución simple del SGSI. Esta Norma puede ser utilizada por partes interesadas internas y externas para evaluar la conformidad. 0.2 Enfoque basado en procesos Esta norma adopta un enfoque basado en procesos para establecer, implementar, operar, realizar seguimiento, revisar, mantener ymejorar el SGSI de una organización. Una organización necesita identificar y gestionar muchas actividades a fin de funcionar eficazmente. Cualquier actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados, se puede considerar como un proceso. Frecuentemente el resultado de un proceso constituye directamente el elemento deentrada del siguiente proceso. La aplicación de un sistema de procesos dentro de la organización, junto con la identificación e interacciones de estos procesos, así como su gestión, puede denominarse como "enfoque basado en procesos". El enfoque basado en procesos para la gestión de seguridad de la información presentado en esta Norma anima a sus usuarios a enfatizar la importancia de: a) lacomprensión de los requisitos de seguridad de la información de una organización y la necesidad de establecer la política y objetivos para la seguridad de la información; b) implementar y operar controles para dirigir los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización; c) realizar seguimiento y revisar el desempeño yeficacia del SGSI; y d) la mejora continua con base en mediciones objetivas. Esta Norma adopta el modelo "Planificar - Hacer - Verificar - Actuar" (PHVA), el cual es aplicado para estructurar todos procesos del SGSI. La Figura 1 ilustra cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de la información de las partes interesadas y a través de las acciones y procesos necesariosproduce los resultados de seguridad de la información que cumplen esos requisitos y expectativas. La Figura 1 también ilustra los vínculos en los procesos presentados en los Capítulos 4, 5, 6, 7 y 8. La adopción del modelo de PHVA también reflejará los principios según lo precisado en las Directrices OECD (2002)1 que gobiernan la seguridad de los sistemas y redes de información. Esta Norma provee...
Leer documento completo
Regístrate para leer el documento completo.