Implementación ISO
Páginas: 3 (591 palabras)
Publicado: 6 de febrero de 2016
Implementación ISO/IEC 27005. Gestión de riesgos de la Seguridad la Información
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La normasuministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la informacióndefinidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. Norecomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.Para llevar a cabo la gestión de riesgo bajo la norma ISO 27005:2008 se debe realizar los siguientes pasos:
Para la metodología se utiliza como base el modelo PHVA con la finalidad deestablecer un proceso de gestión que se enfoque en la mejora continua siguiendo el esquema presentado a continuación:
PLANIFICAR: Se establecen los objetivos, procesos y procedimientos para el proceso degestión de riesgos tecnológicos. La finalidad de la planeación es la entrega de resultados acordes con las políticas y objetivos globales de la organización. Así mismo, se establece el plan decomunicaciones y el análisis del contexto organizacional actual para definir el alcance de la gestión de riesgos tecnológicos.
HACER: Corresponde a la implementación y operación de los controles, procesos yprocedimientos (incluye la operación e implementación de las políticas definidas), lo correspondiente a la valoración y tratamiento de los riesgos.
VERIFICAR: Evaluar y medir el desempeño de losprocesos contra la política y los objetivos de seguridad e informar sobre los resultados.
ACTUAR: Establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para...
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La normasuministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la informacióndefinidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. Norecomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.Para llevar a cabo la gestión de riesgo bajo la norma ISO 27005:2008 se debe realizar los siguientes pasos:
Para la metodología se utiliza como base el modelo PHVA con la finalidad deestablecer un proceso de gestión que se enfoque en la mejora continua siguiendo el esquema presentado a continuación:
PLANIFICAR: Se establecen los objetivos, procesos y procedimientos para el proceso degestión de riesgos tecnológicos. La finalidad de la planeación es la entrega de resultados acordes con las políticas y objetivos globales de la organización. Así mismo, se establece el plan decomunicaciones y el análisis del contexto organizacional actual para definir el alcance de la gestión de riesgos tecnológicos.
HACER: Corresponde a la implementación y operación de los controles, procesos yprocedimientos (incluye la operación e implementación de las políticas definidas), lo correspondiente a la valoración y tratamiento de los riesgos.
VERIFICAR: Evaluar y medir el desempeño de losprocesos contra la política y los objetivos de seguridad e informar sobre los resultados.
ACTUAR: Establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para...
Leer documento completo
Regístrate para leer el documento completo.