Iso 27002
Páginas: 54 (13282 palabras)
Publicado: 30 de mayo de 2010
ISO 27002 - Seguridad de la Información Objetivos y Controles
Seguridad de la Información Estándar Internacional ISO 27002
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
1/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Índice
Introducción Alcance Términos y definiciones Estructura de este estándar Evaluación y tratamiento del riesgo Política de seguridadOrganización de la seguridad de la información Gestión de activos Seguridad de recursos humanos Seguridad física y ambiental Gestión de las comunicaciones y operaciones Control del acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de un incidente en la seguridad de la información Gestión de la continuidad del negocio Cumplimiento
SI - UDEMM 2010 Pablo Pirovano– José Castiñeiras
2/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
ISO e ISO 27002 ? ISO (International Organization for Standarization) es el desarrollador y publicador mundial más grande de estándares internacionales. ISO es una red de institutos de estandarización nacionales de 161 países, un miembro por país, con una secretaría central en Ginebra,Suiza, que coordina el sistema. ISO es una organización no gubernamental que relaciona institutos del sector público y privado logrando soluciones consensuadas que satisfacen los requerimientos de los negocios y la sociedad. En el campo de la tecnología de la información. ISO e IEC (Comisión Electrotécnica Internacional) han establecido un comité técnico conjunto, ISO/IEC JTC 1 ISO/IEC 27002:2005establece lineamientos y principios generales para: -Iniciar -Implementar -Mantener -Mejorar el manejo de la seguridad de la información en la organización.
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
3/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Qué es seguridad de la información? La seguridad de la información es la protección de lainformación de un rango amplio de amenazas para: - Asegurar la continuidad del negocio - Minimizar el riesgo comercial - Maximizar el retorno de las inversiones y las oportunidades comerciales. La seguridad de la información se logra implementando un adecuado conjunto de controles; Incluyendo: - Políticas - Procesos - Procedimientos - Estructuras organizacionales - Funciones de software y hardware. Senecesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales específicos.
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
4/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Por qué se necesita seguridad de la información? Definir, lograr,mantener y mejorar la seguridad de la información puede ser esencial para mantener: - Una ventaja competitiva - Flujo de caja - Rentabilidad - Observancia legal - Imagen comercial. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo: - Fraude por computadora - Espionaje - Sabotaje - Vandalismo - Fuego o inundación. -Código malicioso - Pirateo computarizado - Negación de ataques de servicio
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
5/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Cómo establecer los requerimientos de seguridad? Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos deseguridad: - Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial. - Otra fuente son los requerimientos legales, reguladores,...
Seguridad de la Información Estándar Internacional ISO 27002
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
1/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Índice
Introducción Alcance Términos y definiciones Estructura de este estándar Evaluación y tratamiento del riesgo Política de seguridadOrganización de la seguridad de la información Gestión de activos Seguridad de recursos humanos Seguridad física y ambiental Gestión de las comunicaciones y operaciones Control del acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de un incidente en la seguridad de la información Gestión de la continuidad del negocio Cumplimiento
SI - UDEMM 2010 Pablo Pirovano– José Castiñeiras
2/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
ISO e ISO 27002 ? ISO (International Organization for Standarization) es el desarrollador y publicador mundial más grande de estándares internacionales. ISO es una red de institutos de estandarización nacionales de 161 países, un miembro por país, con una secretaría central en Ginebra,Suiza, que coordina el sistema. ISO es una organización no gubernamental que relaciona institutos del sector público y privado logrando soluciones consensuadas que satisfacen los requerimientos de los negocios y la sociedad. En el campo de la tecnología de la información. ISO e IEC (Comisión Electrotécnica Internacional) han establecido un comité técnico conjunto, ISO/IEC JTC 1 ISO/IEC 27002:2005establece lineamientos y principios generales para: -Iniciar -Implementar -Mantener -Mejorar el manejo de la seguridad de la información en la organización.
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
3/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Qué es seguridad de la información? La seguridad de la información es la protección de lainformación de un rango amplio de amenazas para: - Asegurar la continuidad del negocio - Minimizar el riesgo comercial - Maximizar el retorno de las inversiones y las oportunidades comerciales. La seguridad de la información se logra implementando un adecuado conjunto de controles; Incluyendo: - Políticas - Procesos - Procedimientos - Estructuras organizacionales - Funciones de software y hardware. Senecesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales específicos.
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
4/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Por qué se necesita seguridad de la información? Definir, lograr,mantener y mejorar la seguridad de la información puede ser esencial para mantener: - Una ventaja competitiva - Flujo de caja - Rentabilidad - Observancia legal - Imagen comercial. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo: - Fraude por computadora - Espionaje - Sabotaje - Vandalismo - Fuego o inundación. -Código malicioso - Pirateo computarizado - Negación de ataques de servicio
SI - UDEMM 2010
Pablo Pirovano – José Castiñeiras
5/120
ISO 27002 - Seguridad de la Información Objetivos y Controles
Introducción
¿Cómo establecer los requerimientos de seguridad? Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos deseguridad: - Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial. - Otra fuente son los requerimientos legales, reguladores,...
Leer documento completo
Regístrate para leer el documento completo.