ingeniero
Páginas: 6 (1270 palabras)
Publicado: 31 de octubre de 2013
INTRODUCCIÓN
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus activos de información.
ISO 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques- Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según elconocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act.
Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño(eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
La ISO/IEC 27001:2005 está compuesta para ser adecuada a diferentes tipos de usos, incluidos, entre otros, los siguientes:
Uso dentro de las organizaciones para formular requerimientos y objetivos de seguridad.
Uso dentro de las organizacionescomo una forma de asegurar que los riesgos de seguridad están gestionados efectivamente.
Uso de las organizaciones para proveer a los clientes información relevante acerca de la seguridad de información.
Uso de parte de la gerencia de la organización para determinar el estado de las actividades de la administración de la seguridad de la información.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LAINFORMACIÓN
Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001.
El término se denomina en inglés "Information Security Management System" (ISMS).
El concepto clave de un SGSI es para una organización el diseño,implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambiosinternos de la organización así como los externos del entorno.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
ISO/IEC 27001 es laúnica norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
CONTROLES
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.
Control abarca todo elconjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc.
Política de seguridad.
- Política de seguridad (Nivel político o estratégico de la organización): Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas.
- Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de...
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus activos de información.
ISO 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques- Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según elconocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act.
Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño(eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
La ISO/IEC 27001:2005 está compuesta para ser adecuada a diferentes tipos de usos, incluidos, entre otros, los siguientes:
Uso dentro de las organizaciones para formular requerimientos y objetivos de seguridad.
Uso dentro de las organizacionescomo una forma de asegurar que los riesgos de seguridad están gestionados efectivamente.
Uso de las organizaciones para proveer a los clientes información relevante acerca de la seguridad de información.
Uso de parte de la gerencia de la organización para determinar el estado de las actividades de la administración de la seguridad de la información.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LAINFORMACIÓN
Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001.
El término se denomina en inglés "Information Security Management System" (ISMS).
El concepto clave de un SGSI es para una organización el diseño,implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambiosinternos de la organización así como los externos del entorno.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
ISO/IEC 27001 es laúnica norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
CONTROLES
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.
Control abarca todo elconjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc.
Política de seguridad.
- Política de seguridad (Nivel político o estratégico de la organización): Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas.
- Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de...
Leer documento completo
Regístrate para leer el documento completo.