ISO IEC 270001
Páginas: 44 (10862 palabras)
Publicado: 24 de septiembre de 2014
NORMA ISO/IEC
INTERNACIONAL 27001
Primera edición
2005-10-15
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos
Information technology — Security techniques — Information security management systems — Requirements
Número de referenciaISO/IEC 27001:2005(E)
0 Introducción
0.1 Generalidades
Esta Norma Internacional se ha elaborado con el fin de proporcionar un modelo para establecer, implementar, operar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debería ser una decisión estratégica para una organización. El diseño y la implementación del SGSI de unaorganización están influenciados por sus necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Se espera que éstos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementación de un SGSI se ajuste de acuerdo con las necesidades de la organización, por ejemplo, una situación sencilla requiere una solución sencilla delSGSI.
Esta Norma Internacional puede utilizarse para evaluar la conformidad por partes interesadas internas y externas.
0.2 Enfoque basado en procesos
Esta Norma Internacional adopta un enfoque basado en procesos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
Una organización tiene que identificar y gestionar muchas actividades para quefuncione de manera eficaz. Se puede considerar como un proceso cualquier actividad que utiliza recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen en elementos de salida. Con frecuencia el elemento de salida de un proceso constituye directamente el elemento de entrada del siguiente proceso.
A la aplicación de un sistema de procesos dentro de una organización,junto con la identificación e interacciones de estos procesos, y su gestión se les puede denominar “enfoque basado en procesos”.
El enfoque basado en procesos para la gestión de seguridad de la información presentado en esta Norma Internacional estimula a los usuarios para que pongan énfasis en la importancia de:
a) comprender los requisitos de seguridad de la información de una organización yla necesidad de establecer una política y objetivos para la seguridad de la información;
b) implementar y operar controles para gestionar los riesgos de seguridad de la información de una organización en el contexto de los riesgos generales del negocio de la organización;
c) monitorear y revisar el desempeño y eficacia del SGSI; y
d) la mejora continua en base a la medición de objetivos.
EstaNorma Internacional adopta el modelo "Planificar-Ejecutar-Verificar-Actuar" (PDCA), que se aplica a la estructura de todos los procesos del SCSI. La Figura 1 ilustra cómo un SGSI considera como elemento de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas y a través de las acciones y procedimientos necesarios produce resultados de seguridad de lainformación que cumplen esos requisitos y expectativas. La Figura 1 también ilustra los vínculos entre los procesos presentados en los Capítulos 4, 5, 6, 7 y 8.
La adopción del modelo PDCA también reflejará los principios establecidos en las Directrices de la OECD (2002)1 que regulan la seguridad de los sistemas y redes de información. Esta Norma Internacional proporciona un modelo sólido paraimplementar los principios de aquellas directrices que regulan la evaluación de riesgos, el diseño e implementación de la seguridad, la gestión y reevaluación de la seguridad.
EJEMPLO 1
Un requisito podría ser que las violaciones de la seguridad de la información no produzcan graves daños financieros a una organización y/o causen dificultades económicas a la organización.
EJEMPLO 2
Una...
NORMA ISO/IEC
INTERNACIONAL 27001
Primera edición
2005-10-15
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos
Information technology — Security techniques — Information security management systems — Requirements
Número de referenciaISO/IEC 27001:2005(E)
0 Introducción
0.1 Generalidades
Esta Norma Internacional se ha elaborado con el fin de proporcionar un modelo para establecer, implementar, operar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debería ser una decisión estratégica para una organización. El diseño y la implementación del SGSI de unaorganización están influenciados por sus necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Se espera que éstos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementación de un SGSI se ajuste de acuerdo con las necesidades de la organización, por ejemplo, una situación sencilla requiere una solución sencilla delSGSI.
Esta Norma Internacional puede utilizarse para evaluar la conformidad por partes interesadas internas y externas.
0.2 Enfoque basado en procesos
Esta Norma Internacional adopta un enfoque basado en procesos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
Una organización tiene que identificar y gestionar muchas actividades para quefuncione de manera eficaz. Se puede considerar como un proceso cualquier actividad que utiliza recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen en elementos de salida. Con frecuencia el elemento de salida de un proceso constituye directamente el elemento de entrada del siguiente proceso.
A la aplicación de un sistema de procesos dentro de una organización,junto con la identificación e interacciones de estos procesos, y su gestión se les puede denominar “enfoque basado en procesos”.
El enfoque basado en procesos para la gestión de seguridad de la información presentado en esta Norma Internacional estimula a los usuarios para que pongan énfasis en la importancia de:
a) comprender los requisitos de seguridad de la información de una organización yla necesidad de establecer una política y objetivos para la seguridad de la información;
b) implementar y operar controles para gestionar los riesgos de seguridad de la información de una organización en el contexto de los riesgos generales del negocio de la organización;
c) monitorear y revisar el desempeño y eficacia del SGSI; y
d) la mejora continua en base a la medición de objetivos.
EstaNorma Internacional adopta el modelo "Planificar-Ejecutar-Verificar-Actuar" (PDCA), que se aplica a la estructura de todos los procesos del SCSI. La Figura 1 ilustra cómo un SGSI considera como elemento de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas y a través de las acciones y procedimientos necesarios produce resultados de seguridad de lainformación que cumplen esos requisitos y expectativas. La Figura 1 también ilustra los vínculos entre los procesos presentados en los Capítulos 4, 5, 6, 7 y 8.
La adopción del modelo PDCA también reflejará los principios establecidos en las Directrices de la OECD (2002)1 que regulan la seguridad de los sistemas y redes de información. Esta Norma Internacional proporciona un modelo sólido paraimplementar los principios de aquellas directrices que regulan la evaluación de riesgos, el diseño e implementación de la seguridad, la gestión y reevaluación de la seguridad.
EJEMPLO 1
Un requisito podría ser que las violaciones de la seguridad de la información no produzcan graves daños financieros a una organización y/o causen dificultades económicas a la organización.
EJEMPLO 2
Una...
Leer documento completo
Regístrate para leer el documento completo.