ISO 27001 EN ESPAÑOL
Páginas: 176 (43897 palabras)
Publicado: 15 de marzo de 2014
ISO 27001
Tabla . Lineamientos de implantación de controles para el logro de los objetivos de control de ISO/IEC 27001:2005.
Dominio
A.5
Nombre del Dominio
Política de Seguridad
Subdominio
A.5.1
Nombre del Subdominio
Política de seguridad de la información
Objetivo
Dirigir y dar apoyo a la gestión de la seguridad de la información en concordanciacon los requerimientos del negocio, las leyes relevantes y las regulaciones.
La gerencia debe establecer claramente la dirección de la política en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización.
Control
A.5.1
Nombre delControl
Documento de la política de seguridad de la información Control
Descripción
La gerencia debe aprobar, publicar y comunicar a todos los empleados, de forma adecuada un documento de política de seguridad de la información.
Lineamientos de Implementación
La política de seguridad de la información debe enunciar el compromiso de la gerencia y establecer el enfoque de la organización paramanejar la seguridad de la información. El documento de la política debe contener estatutos relacionados con:
a) Una definición de seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo facilitador para el intercambio de información;
b) El establecimiento del objetivo de la gerencia como apoyo de los objetivos y principios de la seguridadde la información ;
c) Un marco de referencia para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;
d) Una explicación breve de las políticas, principios, estándares y requerimientos de conformidad de la seguridad de particular importancia para la organización, incluyendo:
1. Conformidad con los requisitoslegislativos y contractuales;
2. Requisitos de concientización, entrenamiento y educación en seguridad
3. Gestión de la continuidad del negocio,
4. Consecuencias de las violaciones de la política de seguridad de la información;
e) Definición de las responsabilidades generales y especificas en materia de gestión de la seguridad de la información , incluida la comunicación de los incidentes deseguridad;
f) Referencias a la documentación que pueda sustentar la política; por ejemplo, políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir.
La política de seguridad de la información se debe comunicar a través de toda la organización a los usuarios en una forma que sea pertinente, accesible yentendible para el lector objetivo.
La política de seguridad debe ser parte de un documento general de la política empresarial. Se debe tener cuidado al distribuir la política de seguridad fuera de la organización con el fin de no compartir información confidencial.
Otra información
Control
A.5.1.2
Nombre del Control
Revisión de la política de seguridad de la información
Descripción
Lapolítica de seguridad debe ser revisada en intervalos planificados o si cambios significativos ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
Lineamientos de Implementación
La política debe tener un dueño que apruebe la responsabilidad de la gerencia para el desarrollo, revisión y evaluación de la política de seguridad. La revisión debe incluir oportunidades para mejorar lapolítica de seguridad de información organizacional y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias de negocio, condiciones legales o cambios en el ambiente técnico.
La revisión de la política de seguridad de información debe tomar en cuenta los resultados de las revisión hechas por la gerencia. Deben existir...
ISO 27001
Tabla . Lineamientos de implantación de controles para el logro de los objetivos de control de ISO/IEC 27001:2005.
Dominio
A.5
Nombre del Dominio
Política de Seguridad
Subdominio
A.5.1
Nombre del Subdominio
Política de seguridad de la información
Objetivo
Dirigir y dar apoyo a la gestión de la seguridad de la información en concordanciacon los requerimientos del negocio, las leyes relevantes y las regulaciones.
La gerencia debe establecer claramente la dirección de la política en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización.
Control
A.5.1
Nombre delControl
Documento de la política de seguridad de la información Control
Descripción
La gerencia debe aprobar, publicar y comunicar a todos los empleados, de forma adecuada un documento de política de seguridad de la información.
Lineamientos de Implementación
La política de seguridad de la información debe enunciar el compromiso de la gerencia y establecer el enfoque de la organización paramanejar la seguridad de la información. El documento de la política debe contener estatutos relacionados con:
a) Una definición de seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo facilitador para el intercambio de información;
b) El establecimiento del objetivo de la gerencia como apoyo de los objetivos y principios de la seguridadde la información ;
c) Un marco de referencia para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;
d) Una explicación breve de las políticas, principios, estándares y requerimientos de conformidad de la seguridad de particular importancia para la organización, incluyendo:
1. Conformidad con los requisitoslegislativos y contractuales;
2. Requisitos de concientización, entrenamiento y educación en seguridad
3. Gestión de la continuidad del negocio,
4. Consecuencias de las violaciones de la política de seguridad de la información;
e) Definición de las responsabilidades generales y especificas en materia de gestión de la seguridad de la información , incluida la comunicación de los incidentes deseguridad;
f) Referencias a la documentación que pueda sustentar la política; por ejemplo, políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir.
La política de seguridad de la información se debe comunicar a través de toda la organización a los usuarios en una forma que sea pertinente, accesible yentendible para el lector objetivo.
La política de seguridad debe ser parte de un documento general de la política empresarial. Se debe tener cuidado al distribuir la política de seguridad fuera de la organización con el fin de no compartir información confidencial.
Otra información
Control
A.5.1.2
Nombre del Control
Revisión de la política de seguridad de la información
Descripción
Lapolítica de seguridad debe ser revisada en intervalos planificados o si cambios significativos ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
Lineamientos de Implementación
La política debe tener un dueño que apruebe la responsabilidad de la gerencia para el desarrollo, revisión y evaluación de la política de seguridad. La revisión debe incluir oportunidades para mejorar lapolítica de seguridad de información organizacional y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias de negocio, condiciones legales o cambios en el ambiente técnico.
La revisión de la política de seguridad de información debe tomar en cuenta los resultados de las revisión hechas por la gerencia. Deben existir...
Leer documento completo
Regístrate para leer el documento completo.