ISO 27001
Páginas: 36 (8850 palabras)
Publicado: 23 de febrero de 2015
Requerimientos ISO 27001
Contenido
0 Introducción 3
0.1 Generalidades 3
0.2 Compatibilidad con otras normas de sistemas de gestión 4
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos 4
1 Ámbito de aplicación 4
2 Referencias normativas 4
3 Términos y definiciones 4
4 Contexto de la organización 5
4.1 Comprendiendo a laorganización y su contexto 5
4.2 Comprensión de las necesidades y expectativas de las partes interesadas 5
4.3 Determinación del alcance del sistema de gestión de seguridad de la información 5
4.4 Sistema de gestión de seguridad de la información 6
5 Liderazgo 6
5.1 Liderazgo y compromiso 6
5.2 Política 6
5.3 Roles de organización, responsabilidades y autoridades 7
6 planeación 7
6.1Acciones para abordar los riesgos y oportunidades 7
6.1.1 Consideraciones generales 7
6.1.2 evaluación de riesgos de seguridad de información 8
6.1.3 tratamiento de riesgos de seguridad de información 9
6.2 los objetivos de seguridad de información y la planificación para alcanzarlos 10
7 Apoyo 11
7.1 Recursos 11
7.2 Competencia 11
7.3 conciencia 11
7.4 Comunicación 11
7.5 Informacióndocumentada 12
7.5.1 General 12
7.5.2 Creación y actualización 12
7.5.3 Control de la información documentada 12
8 Funcionamiento 13
8.1 Planificación y control operacional 13
8.2 Evaluación del Riesgo de Seguridad de la información 13
8.3 Información de tratamiento de riesgos de seguridad 13
9 La evaluación del desempeño 13
9.1 Seguimiento, medición, análisis y evaluación 13
9.2 La auditoríainterna 14
9.3 Revisión por la dirección 14
10 Mejoramiento 15
10.1 No conformidad y acciones correctivas 15
10.2 Mejora continua 15
Anexo A 16
(Normativo) 16
0 Introducción
0.1 Generalidades
Esta Norma Internacional se ha preparado para proporcionar los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de lainformación. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. La creación e implementación de un sistema de gestión de seguridad de la información se ve influida por las necesidades de la organización y objetivos, requisitos de seguridad, los procesos organizativos utilizados y el tamaño y estructura de la organización. Seespera que todos estos factores que influyen cambien con el tiempo.
El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que los riesgos se gestionan adecuadamente.
Es importante que el sistema de gestión de la seguridadsea parte integral de los procesos de la organización y la estructura de gestión global, y que la seguridad de la información se considere en el diseño de procesos, sistemas de información y los controles. Se espera que una implementación de sistema de gestión de seguridad de la información se pueda escalar de acuerdo con las necesidades de las organizaciones.
Esta Norma Internacional puedeutilizar a las partes internas y externas para evaluar la capacidad de la organización para cumplir los requisitos de seguridad de la información dentro de la organización.
El orden en que se presentan los requisitos de esta norma internacional no refleja su importancia ni implica el orden en que han de ponerse en práctica. La lista de artículos se enumera sólo a título de referencia.
ISO / IEC27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de sistemas de gestión de seguridad de la información de las normas (incluyendo ISO / IEC 27003 [2], 27004 [3] IS0/1EC e ISO/27005 [4], con términos y definiciones relacionados.
0.2 Compatibilidad con otras normas de sistemas de gestión...
Contenido
0 Introducción 3
0.1 Generalidades 3
0.2 Compatibilidad con otras normas de sistemas de gestión 4
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos 4
1 Ámbito de aplicación 4
2 Referencias normativas 4
3 Términos y definiciones 4
4 Contexto de la organización 5
4.1 Comprendiendo a laorganización y su contexto 5
4.2 Comprensión de las necesidades y expectativas de las partes interesadas 5
4.3 Determinación del alcance del sistema de gestión de seguridad de la información 5
4.4 Sistema de gestión de seguridad de la información 6
5 Liderazgo 6
5.1 Liderazgo y compromiso 6
5.2 Política 6
5.3 Roles de organización, responsabilidades y autoridades 7
6 planeación 7
6.1Acciones para abordar los riesgos y oportunidades 7
6.1.1 Consideraciones generales 7
6.1.2 evaluación de riesgos de seguridad de información 8
6.1.3 tratamiento de riesgos de seguridad de información 9
6.2 los objetivos de seguridad de información y la planificación para alcanzarlos 10
7 Apoyo 11
7.1 Recursos 11
7.2 Competencia 11
7.3 conciencia 11
7.4 Comunicación 11
7.5 Informacióndocumentada 12
7.5.1 General 12
7.5.2 Creación y actualización 12
7.5.3 Control de la información documentada 12
8 Funcionamiento 13
8.1 Planificación y control operacional 13
8.2 Evaluación del Riesgo de Seguridad de la información 13
8.3 Información de tratamiento de riesgos de seguridad 13
9 La evaluación del desempeño 13
9.1 Seguimiento, medición, análisis y evaluación 13
9.2 La auditoríainterna 14
9.3 Revisión por la dirección 14
10 Mejoramiento 15
10.1 No conformidad y acciones correctivas 15
10.2 Mejora continua 15
Anexo A 16
(Normativo) 16
0 Introducción
0.1 Generalidades
Esta Norma Internacional se ha preparado para proporcionar los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de lainformación. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. La creación e implementación de un sistema de gestión de seguridad de la información se ve influida por las necesidades de la organización y objetivos, requisitos de seguridad, los procesos organizativos utilizados y el tamaño y estructura de la organización. Seespera que todos estos factores que influyen cambien con el tiempo.
El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que los riesgos se gestionan adecuadamente.
Es importante que el sistema de gestión de la seguridadsea parte integral de los procesos de la organización y la estructura de gestión global, y que la seguridad de la información se considere en el diseño de procesos, sistemas de información y los controles. Se espera que una implementación de sistema de gestión de seguridad de la información se pueda escalar de acuerdo con las necesidades de las organizaciones.
Esta Norma Internacional puedeutilizar a las partes internas y externas para evaluar la capacidad de la organización para cumplir los requisitos de seguridad de la información dentro de la organización.
El orden en que se presentan los requisitos de esta norma internacional no refleja su importancia ni implica el orden en que han de ponerse en práctica. La lista de artículos se enumera sólo a título de referencia.
ISO / IEC27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de sistemas de gestión de seguridad de la información de las normas (incluyendo ISO / IEC 27003 [2], 27004 [3] IS0/1EC e ISO/27005 [4], con términos y definiciones relacionados.
0.2 Compatibilidad con otras normas de sistemas de gestión...
Leer documento completo
Regístrate para leer el documento completo.