Resumen ISO 17799:2007 y 27001:2008
Páginas: 5 (1042 palabras)
Publicado: 12 de abril de 2013
ISO/EIC 17799:2005 2007
EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información
Elaborada por el comité técnico de normalización de codificación e intercambio electrónico (EDI)
Fecha de presentación 2006-07-21, aprobada el 22 de enero 2007
Que es la seguridad de la información?
Para empezar la seguridad es un activo que tiene unvalor importante para una organización y requiere en consecuencia una protección adecuada, ya que la misma está expuesta a un rango mayor de amenazas y vulnerabilidades.
Maneras de adoptar una información puede ser; impresa, escrita en papel, almacenada electrónicamente.
Maneras de transmitir una información; electrónicamente, correos electrónicos, video o por una conversación.
Por ende sedebería proteger adecuadamente cualquiera que sea la forma que se opte o transmita, comparta o almacene.
Sirve para minimizar daños a una empresa y asegurar la continuidad del negocio, todo esto se consigue implantando controles, políticas, practicas, procedimientos, estructuras organizativas y funciones de software y hardware, de los cuales estos controles necesitan ser establecidos, implementados,monitoreados, revisados.
Por que es necesaria la seguridad de información?
Es necesario para enfrentar los riesgos que puedan existir, sea como; fraudes informáticos, espionaje, sabotaje, vandalismo, incendio o inundaciones, daños por virus, ataques de intrusión.
La seguridad de información es importante tanto como en el sector publico como en el privado, ambos sectores permitirá como porejemplo el gobierno electrónico o el comercio electrónico, evitando y reduciendo riesgos relevantes.
Como establecer los requisitos de seguridad?
Primero hay que indentificar los requisitos de seguridad
• Valoración de los riesgos de la organización, tomando en cuenta los objetivos y estragias del negocio, con ellas identificas las amenazas, se evalúa la vulnerabilidad y probabilidad deocurrencia y estimación de posible impacto.
• Conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, socios comerciales, contratistas y proveedores de servicios.
• Formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información.
Evaluación de los riesgos de seguridad
Los requisitos de seguridad se identificanmediante una evaluación metódica de los riesgos, los resultados ayudara a encauzar y determinar una adecuada acción gerencial y priorizar para la gestión de los riesgos de seguridad de la información. Evaluación deben repetirse periódicamente
Selección de controles
• Protección de datos de carácter personal y la intimidad de las personas
• Salvaguardar los registros de la organización
•Derechos de la propiedad intelectual
• Documentación de la política de seguridad de la información
• Asignación de responsabilidades de seguridad
• Formación y capacitación para la seguridad de la información
• Procedimiento correcto en las aplicaciones
• Gestión de vulnerabilidad técnica
• Gestión de la continuidad del negocio
• Registro de incidencias de seguridad y las mejoras
Factorescríticos en una organización
• Una política, objetivos y actividades que reflejan los objetivos del negocio de la organización.
• Enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organización
• Apoyo visible y compromiso de la alta gerencia
• Buena comprensión de los requisitos de la seguridad, evaluación del riesgo y de la gestióndel riesgo
• Convicción eficaz de la necesidad de la seguridad a todos los directivos y empleados
• Distribución sobre la política de seguridad de la información de la organización y normas a todos los empleados y contratistas.
• Aprovisionamiento para financiar actividades de gestión de seguridad de la información
• Formación y capacitación adecuadas
• Efectivo proceso de gestión de...
EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información
Elaborada por el comité técnico de normalización de codificación e intercambio electrónico (EDI)
Fecha de presentación 2006-07-21, aprobada el 22 de enero 2007
Que es la seguridad de la información?
Para empezar la seguridad es un activo que tiene unvalor importante para una organización y requiere en consecuencia una protección adecuada, ya que la misma está expuesta a un rango mayor de amenazas y vulnerabilidades.
Maneras de adoptar una información puede ser; impresa, escrita en papel, almacenada electrónicamente.
Maneras de transmitir una información; electrónicamente, correos electrónicos, video o por una conversación.
Por ende sedebería proteger adecuadamente cualquiera que sea la forma que se opte o transmita, comparta o almacene.
Sirve para minimizar daños a una empresa y asegurar la continuidad del negocio, todo esto se consigue implantando controles, políticas, practicas, procedimientos, estructuras organizativas y funciones de software y hardware, de los cuales estos controles necesitan ser establecidos, implementados,monitoreados, revisados.
Por que es necesaria la seguridad de información?
Es necesario para enfrentar los riesgos que puedan existir, sea como; fraudes informáticos, espionaje, sabotaje, vandalismo, incendio o inundaciones, daños por virus, ataques de intrusión.
La seguridad de información es importante tanto como en el sector publico como en el privado, ambos sectores permitirá como porejemplo el gobierno electrónico o el comercio electrónico, evitando y reduciendo riesgos relevantes.
Como establecer los requisitos de seguridad?
Primero hay que indentificar los requisitos de seguridad
• Valoración de los riesgos de la organización, tomando en cuenta los objetivos y estragias del negocio, con ellas identificas las amenazas, se evalúa la vulnerabilidad y probabilidad deocurrencia y estimación de posible impacto.
• Conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, socios comerciales, contratistas y proveedores de servicios.
• Formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información.
Evaluación de los riesgos de seguridad
Los requisitos de seguridad se identificanmediante una evaluación metódica de los riesgos, los resultados ayudara a encauzar y determinar una adecuada acción gerencial y priorizar para la gestión de los riesgos de seguridad de la información. Evaluación deben repetirse periódicamente
Selección de controles
• Protección de datos de carácter personal y la intimidad de las personas
• Salvaguardar los registros de la organización
•Derechos de la propiedad intelectual
• Documentación de la política de seguridad de la información
• Asignación de responsabilidades de seguridad
• Formación y capacitación para la seguridad de la información
• Procedimiento correcto en las aplicaciones
• Gestión de vulnerabilidad técnica
• Gestión de la continuidad del negocio
• Registro de incidencias de seguridad y las mejoras
Factorescríticos en una organización
• Una política, objetivos y actividades que reflejan los objetivos del negocio de la organización.
• Enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organización
• Apoyo visible y compromiso de la alta gerencia
• Buena comprensión de los requisitos de la seguridad, evaluación del riesgo y de la gestióndel riesgo
• Convicción eficaz de la necesidad de la seguridad a todos los directivos y empleados
• Distribución sobre la política de seguridad de la información de la organización y normas a todos los empleados y contratistas.
• Aprovisionamiento para financiar actividades de gestión de seguridad de la información
• Formación y capacitación adecuadas
• Efectivo proceso de gestión de...
Leer documento completo
Regístrate para leer el documento completo.