Iso 27000
Páginas: 17 (4180 palabras)
Publicado: 6 de julio de 2010
DESARROLLO DE UN MODELO DE GESTIÓN EN BASE A LAS MEJORES PRACTICAS DE ISO 27000 PARA PYMES
Integrantes: | |
Ana Gago | 18315611 |
Andrea Salazar | 18253678 |
Eduardo García | 18563341 |
José Morales | 19132062 |
Luis Betancourt | 19360166 |
Marian Guerra | 19708423 |
Gabriel Noguera | 18529088 |
Gabriela Solano | 18898625 |
Hecmary Mujica | 17798559 |
WendolynChin-A-loy | 19363774 |
Yoveska González | 19607351 |
María Angélica Fino | 15611958 |
Área:
Desarrollo Tecnológico.
Sub-Area:
Centro de desarrollo de software y
tecnologias de información y comunicación.
Pregrado: Diurno
Guacara, Octubre de 2009.
OBJETO
Generalidades.
La ISO 27001 cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, institucionesgubernamentales, organizaciones sin fines de lucro). Esta norma específica los requisitos para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riegos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones o parte deellas.
El SGSI (Sistema de Gestión de seguridad de la información) está diseñado para asegurar la selección de controles de seguridad adecuados y proporcionarles que protejan los activos de información y proporcionen confianza a las partes interesadas.
Aplicación.
Los requisitos expuestos en esta Norma son genéricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo,tamaño y naturaleza. No se podrá alegar conformidad con esta Norma cuando se excluya cualquiera de los requisitos especificados.
Partes Interesadas
Seguridad de la información gestionada
Partes Interesadas
Requisitos y expectativas de Seguridad de la Información
Que tiene que hacer una empresa para adaptarse a ISO 27000
Planificación:
* Definir alcance del SGSI
* Definirpolítica de seguridad
* Metodología de evaluación de riesgos
* Inventario de actives
* Identificar amenazas y vulnerabilidades
* Identificar impactos
* Análisis y evaluación de riesgos
* Selección de controles
* Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites delSGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado.)
* Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, se debe tener en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general,establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento muy general, una especie de “declaración de intenciones” de la Dirección, por lo que no pasará de dos o tres páginas.
* Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización,desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla. El riesgo nunca estotalmente eliminable, por lo que es necesario definir una estrategia de aceptación de riesgo.
* Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.
* Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
* Identificar los impactos: los que podría...
Integrantes: | |
Ana Gago | 18315611 |
Andrea Salazar | 18253678 |
Eduardo García | 18563341 |
José Morales | 19132062 |
Luis Betancourt | 19360166 |
Marian Guerra | 19708423 |
Gabriel Noguera | 18529088 |
Gabriela Solano | 18898625 |
Hecmary Mujica | 17798559 |
WendolynChin-A-loy | 19363774 |
Yoveska González | 19607351 |
María Angélica Fino | 15611958 |
Área:
Desarrollo Tecnológico.
Sub-Area:
Centro de desarrollo de software y
tecnologias de información y comunicación.
Pregrado: Diurno
Guacara, Octubre de 2009.
OBJETO
Generalidades.
La ISO 27001 cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, institucionesgubernamentales, organizaciones sin fines de lucro). Esta norma específica los requisitos para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riegos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones o parte deellas.
El SGSI (Sistema de Gestión de seguridad de la información) está diseñado para asegurar la selección de controles de seguridad adecuados y proporcionarles que protejan los activos de información y proporcionen confianza a las partes interesadas.
Aplicación.
Los requisitos expuestos en esta Norma son genéricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo,tamaño y naturaleza. No se podrá alegar conformidad con esta Norma cuando se excluya cualquiera de los requisitos especificados.
Partes Interesadas
Seguridad de la información gestionada
Partes Interesadas
Requisitos y expectativas de Seguridad de la Información
Que tiene que hacer una empresa para adaptarse a ISO 27000
Planificación:
* Definir alcance del SGSI
* Definirpolítica de seguridad
* Metodología de evaluación de riesgos
* Inventario de actives
* Identificar amenazas y vulnerabilidades
* Identificar impactos
* Análisis y evaluación de riesgos
* Selección de controles
* Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites delSGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado.)
* Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, se debe tener en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general,establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento muy general, una especie de “declaración de intenciones” de la Dirección, por lo que no pasará de dos o tres páginas.
* Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización,desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla. El riesgo nunca estotalmente eliminable, por lo que es necesario definir una estrategia de aceptación de riesgo.
* Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.
* Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
* Identificar los impactos: los que podría...
Leer documento completo
Regístrate para leer el documento completo.