ISO 27001 análisis de deficiencias vs evaluación del riesgo
Páginas: 3 (596 palabras)
Publicado: 27 de enero de 2015
ISO 27001 análisis de deficiencias vs evaluación del riesgo
Dejan Kosutic | 27 de enero de 2014
Muy a menudo veo gente confunde el análisis de las deficiencias con la evaluación de riesgos – quees comprensible, ya que el objetivo de ambos es identificar las fallas e inconsistencias en seguridad de la información de su empresa. Sin embargo, desde la perspectiva de la norma ISO 27001 y desdela perspectiva de un auditor de certificación, estos dos son muy diferentes. Aquí está el porqué:
¿Qué es ISO 27001 análisis de deficiencias?
Análisis de deficiencias no es más que la lectura de cadacláusula de la norma ISO 27001 y analizar si ese requisito ya está implementado en su empresa. Al hacerlo, puede decir sí o no, o puede utilizar una escala similar a esto:
1. requisito noimplementado ni planeado;
2. requisito planeado pero no implementado;
3. requisito implementado sólo parcialmente, de modo que los efectos completos no pueden ser esperados;
4. requisito implementado, perola medición, revisión y mejoramiento no se llevan a cabo; y
5. requisito implementado y la medición, revisión y mejora se realizan regularmente.
El análisis de deficiencias es obligatoria en la normaISO 27001, sólo cuando la declaración de aplicabilidad – cláusula 6.1.3 d) dice que es necesario determinar "... si ellos [los controles necesarios] se aplican o no."
Por lo tanto, no necesitarealizar el análisis de deficiencias de las cláusulas de la parte principal de la norma – sólo para los controles del anexo A. Además, el análisis de deficiencias no necesita ser realizado antes de empezarla implementación de la norma ISO 27001 – debe hacerlo sólo después de la evaluación del riesgo y su tratamiento.
¿Qué es la evaluación del riesgo?
Evaluación del riesgo es un paso crucial en laimplementación del sistema de gestión de seguridad de información (SGSI) porque dice lo siguiente: debe implementar controles de seguridad (salvaguardas) sólo si hay riesgos (posibles incidencias) que...
Dejan Kosutic | 27 de enero de 2014
Muy a menudo veo gente confunde el análisis de las deficiencias con la evaluación de riesgos – quees comprensible, ya que el objetivo de ambos es identificar las fallas e inconsistencias en seguridad de la información de su empresa. Sin embargo, desde la perspectiva de la norma ISO 27001 y desdela perspectiva de un auditor de certificación, estos dos son muy diferentes. Aquí está el porqué:
¿Qué es ISO 27001 análisis de deficiencias?
Análisis de deficiencias no es más que la lectura de cadacláusula de la norma ISO 27001 y analizar si ese requisito ya está implementado en su empresa. Al hacerlo, puede decir sí o no, o puede utilizar una escala similar a esto:
1. requisito noimplementado ni planeado;
2. requisito planeado pero no implementado;
3. requisito implementado sólo parcialmente, de modo que los efectos completos no pueden ser esperados;
4. requisito implementado, perola medición, revisión y mejoramiento no se llevan a cabo; y
5. requisito implementado y la medición, revisión y mejora se realizan regularmente.
El análisis de deficiencias es obligatoria en la normaISO 27001, sólo cuando la declaración de aplicabilidad – cláusula 6.1.3 d) dice que es necesario determinar "... si ellos [los controles necesarios] se aplican o no."
Por lo tanto, no necesitarealizar el análisis de deficiencias de las cláusulas de la parte principal de la norma – sólo para los controles del anexo A. Además, el análisis de deficiencias no necesita ser realizado antes de empezarla implementación de la norma ISO 27001 – debe hacerlo sólo después de la evaluación del riesgo y su tratamiento.
¿Qué es la evaluación del riesgo?
Evaluación del riesgo es un paso crucial en laimplementación del sistema de gestión de seguridad de información (SGSI) porque dice lo siguiente: debe implementar controles de seguridad (salvaguardas) sólo si hay riesgos (posibles incidencias) que...
Leer documento completo
Regístrate para leer el documento completo.