ESTANDARES DE TI - AUDITORIA DE SISTEMAS
Páginas: 21 (5190 palabras)
Publicado: 25 de marzo de 2014
USC
RIESGOS EN TI – MARCOS DE REFERENCIA Y
ACTIVOS DE INFORMACIÓN
ANDRES FELIPE OSPINA LENIS
INGENIERIA DE SISTEMAS
AUDITORIA DE SISTEMAS DE INFORMACION
EDGAR VALDES
USC
SANTIAGO DE CALI, 18 DE FEBRERO
2014
1
USC
Tabla de contenido
1. MARCOS DE REFERENCIA ............................................................................ 3
1.1.
ISO/DIS 31000 (DRAFT)............................................................................ 3
1.2.
IEC/DIS 31010 ........................................................................................... 3
1.3.
ISO/D Guide 73 .......................................................................................... 4
1.4.
BS 31100 - Código de práctica para la gestión deriesgos......................... 5
1.5.
ISO/IEC 27005 Gestión de riesgos de seguridad de la Información .......... 6
1.6.
CRAMM, metodología de análisis y gestión de riesgos ............................. 7
1.7.
Magerit ....................................................................................................... 9
1.8.
SRMG...................................................................................................... 10
1.9.
BS 7799-3 ................................................................................................... 10
1.10.
ITGI – The Risk IT Framework .............................................................. 11
1.11.
Basilea II ............................................................................................... 12
1.12.OCTAVE ............................................................................................... 13
1.13.
NIST SP 800-30 .................................................................................... 15
1.14.
AS/NZS 4360 ........................................................................................ 17
1.15.
AIRMIC................................................................................................. 17
1.16.
UNE 71504 ........................................................................................... 18
2. ACTIVOS DE INFORMACION DE LA EMPRESA .......................................... 19
2
USC
1. MARCOS DE REFERENCIA
1.1.
ISO/DIS 31000 (DRAFT)
La norma ISO 31000:2009 puede ser utilizada por cualquierentidad pública,
privada, organización sin fines de lucro, asociación, grupo o individuo. Además, la
ISO 31000:2009 no es específica a alguna industria o sector.
Otra característica de la norma es que puede ser aplicada a lo largo de la vida de
una organización, así como una variada gama de actividades, incluidas las
estrategias y de decisiones, operaciones, procesos, funciones, proyectos,productos, servicios y activos.
Por otro lado, la norma ISO 31000:2009 se puede aplicar a cualquier tipo de
riesgo, cualquiera sea su naturaleza, causa u origen, tanto que sus consecuencias
sean positivas como negativas para la organización.
El nuevo estándar ISO provee de los principios, el marco de trabajo (framework) y
un proceso destinado a gestionar cualquier tipo de riesgo en una maneratransparente, sistemática y creíble dentro de cualquier alcance o contexto.
La norma ISO 31000:2009 establece los principios y directrices de carácter
genérico sobre la gestión del riesgo. Para una mayor eficacia, la gestión del riesgo
en una organización debe tener en cuenta los siguientes principios:
a) Crea valor
b) Está integrada en los procesos de la organización
c) Forma parte de latoma de decisiones
d) Trata explícitamente la incertidumbre
e) Es sistemática, estructurada y adecuada
f) Está basada en la mejor información disponible
g) Está hecha a medida
h) Tiene en cuenta factores humanos y culturales
i) Es transparente e inclusiva
j) Es dinámica, iterativa y sensible al cambio
k) Facilita la mejora continua de la organización
1.2.
IEC/DIS 31010
Esta norma...
RIESGOS EN TI – MARCOS DE REFERENCIA Y
ACTIVOS DE INFORMACIÓN
ANDRES FELIPE OSPINA LENIS
INGENIERIA DE SISTEMAS
AUDITORIA DE SISTEMAS DE INFORMACION
EDGAR VALDES
USC
SANTIAGO DE CALI, 18 DE FEBRERO
2014
1
USC
Tabla de contenido
1. MARCOS DE REFERENCIA ............................................................................ 3
1.1.
ISO/DIS 31000 (DRAFT)............................................................................ 3
1.2.
IEC/DIS 31010 ........................................................................................... 3
1.3.
ISO/D Guide 73 .......................................................................................... 4
1.4.
BS 31100 - Código de práctica para la gestión deriesgos......................... 5
1.5.
ISO/IEC 27005 Gestión de riesgos de seguridad de la Información .......... 6
1.6.
CRAMM, metodología de análisis y gestión de riesgos ............................. 7
1.7.
Magerit ....................................................................................................... 9
1.8.
SRMG...................................................................................................... 10
1.9.
BS 7799-3 ................................................................................................... 10
1.10.
ITGI – The Risk IT Framework .............................................................. 11
1.11.
Basilea II ............................................................................................... 12
1.12.OCTAVE ............................................................................................... 13
1.13.
NIST SP 800-30 .................................................................................... 15
1.14.
AS/NZS 4360 ........................................................................................ 17
1.15.
AIRMIC................................................................................................. 17
1.16.
UNE 71504 ........................................................................................... 18
2. ACTIVOS DE INFORMACION DE LA EMPRESA .......................................... 19
2
USC
1. MARCOS DE REFERENCIA
1.1.
ISO/DIS 31000 (DRAFT)
La norma ISO 31000:2009 puede ser utilizada por cualquierentidad pública,
privada, organización sin fines de lucro, asociación, grupo o individuo. Además, la
ISO 31000:2009 no es específica a alguna industria o sector.
Otra característica de la norma es que puede ser aplicada a lo largo de la vida de
una organización, así como una variada gama de actividades, incluidas las
estrategias y de decisiones, operaciones, procesos, funciones, proyectos,productos, servicios y activos.
Por otro lado, la norma ISO 31000:2009 se puede aplicar a cualquier tipo de
riesgo, cualquiera sea su naturaleza, causa u origen, tanto que sus consecuencias
sean positivas como negativas para la organización.
El nuevo estándar ISO provee de los principios, el marco de trabajo (framework) y
un proceso destinado a gestionar cualquier tipo de riesgo en una maneratransparente, sistemática y creíble dentro de cualquier alcance o contexto.
La norma ISO 31000:2009 establece los principios y directrices de carácter
genérico sobre la gestión del riesgo. Para una mayor eficacia, la gestión del riesgo
en una organización debe tener en cuenta los siguientes principios:
a) Crea valor
b) Está integrada en los procesos de la organización
c) Forma parte de latoma de decisiones
d) Trata explícitamente la incertidumbre
e) Es sistemática, estructurada y adecuada
f) Está basada en la mejor información disponible
g) Está hecha a medida
h) Tiene en cuenta factores humanos y culturales
i) Es transparente e inclusiva
j) Es dinámica, iterativa y sensible al cambio
k) Facilita la mejora continua de la organización
1.2.
IEC/DIS 31010
Esta norma...
Leer documento completo
Regístrate para leer el documento completo.