licenciado en laboratorio clinico
Páginas: 12 (2971 palabras)
Publicado: 7 de octubre de 2013
AYUDA MEMORIA
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SGSI
El presente documento tiene como objetivo brindar ayuda a todos quienes formamos parte del SGSI de la CNT EP con la finalidad de afrontar adecuadamente la auditoría fase 2 de certificación ISO 27001:2005, misma que se ejecutará a partir del lunes 30 de septiembre hasta el 3 de octubre de 2013.
CONCEPTOS CLAVE
Información.-La información es un activo más de las empresas y como los otros activos importantes del negocio es esencial para las actividades de una organización.
Activo de Información.- Todo lo que genera, procesa o almacena información necesaria para la operación y el cumplimiento de los objetivos estratégicos de la compañía.
Tipos de Activos de Información
- Documentos electrónicos.- Toda informaciónmostrada a través de la pantalla o monitor.
- Documentos físicos.- Toda información impresa.
- Software.- Herramienta informática (programas, aplicaciones, sistemas, bases de datos)
- Hardware.- Todo equipo de computación y comunicación, incluyendo sus partes y piezas.
- Personas.- Todo ser humano que conoce información de la CNT EP.
Amenaza.- Causa potencial de un incidente y que puedeatentar contra la Seguridad de la Información
Vulnerabilidad.- Debilidad o carencia que potencialmente permite que una amenaza afecte a un activo.
Riesgo.- Probabilidad de que una amenaza se aproveche de una vulnerabilidad y ocasione un incidente.
Tratamiento de Riesgos.- Se refiere a acciones que pueden ejecutarse para mitigar la probabilidad de ocurrencia de un incidente o minimizar su impactohacia los activos de información:
- Evitar.- Evitar el riesgo mediante la eliminación de la causa de éste.
- Aceptar.- Aceptar el riesgo potencial y continuar operando tal como se ha estado haciendo.
- Transferir.- Transferir el riesgo mediante el uso de otras opciones que compensen la pérdida, tales como la adquisición de pólizas de seguro o entrega del activo a un tercero que asuma el control yla operación del mismo.
- Mitigar.- Implementación de los controles que reduzcan la probabilidad de que la amenaza explote una vulnerabilidad (El universo de controles es establecido por el Anexo A de la norma ISO27001).
Características de la Información Segura
- Confidencialidad.- La información está disponible y no es divulgada a personas, entidades o procesos no-autorizados
-Disponibilidad.- La información está disponible y utilizable cuando y como lo requiera una entidad autorizada.
- Integridad.- Exactitud de los datos y los cálculos e integridad de los activos.
Incidente.- Evento no deseado y no esperado, producto de la materialización de un riesgo.
Atributos del Negocio.- Se refieren a los atributos identificados a partir de La Visión, La Misión y El Plan Estratégico de laCNT EP, los mismos que deben ser soportados por el SGSI.
- Innovación
- Excelencia
- Servicio al Cliente
- Imagen y Reputación
Sistema de Gestión de Seguridad de la Información.- Conjunto de controles metodológicamente implementados que mitigan riesgos asociados a la confidencialidad, integridad y disponibilidad de la Información.
Acción correctiva.- Acciones para eliminar la causa de lasno-conformidades con los requisitos del SGSI para poder evitar la recurrencia.
Acción preventiva.- Acción para eliminar la causa de las no-conformidades potenciales de los requisitos SGSI para evitar su ocurrencia.
LA POLÍTICA DEL SGSI CONTIENE A LA POLÍTICA DE SI
Política del SGSI: Es la Política de todo el Sistema, es la intención corporativa de la CNT EP con respecto a la Seguridad de laInformación.
Política de SI: Forma parte del SGSI, es uno de los controles que demanda la ISO 27001:2005.
EVALUACIÓN DE RIESGOS
La evaluación de riesgos es una actividad que se ejecuta durante el primer semestre de cada año con motivo de la actualización del SGSI. El detalle de la evaluación de riegos se encuentra publicado en el sistema MAI bajo el nombre de Metodología de Evaluación de Riesgos....
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SGSI
El presente documento tiene como objetivo brindar ayuda a todos quienes formamos parte del SGSI de la CNT EP con la finalidad de afrontar adecuadamente la auditoría fase 2 de certificación ISO 27001:2005, misma que se ejecutará a partir del lunes 30 de septiembre hasta el 3 de octubre de 2013.
CONCEPTOS CLAVE
Información.-La información es un activo más de las empresas y como los otros activos importantes del negocio es esencial para las actividades de una organización.
Activo de Información.- Todo lo que genera, procesa o almacena información necesaria para la operación y el cumplimiento de los objetivos estratégicos de la compañía.
Tipos de Activos de Información
- Documentos electrónicos.- Toda informaciónmostrada a través de la pantalla o monitor.
- Documentos físicos.- Toda información impresa.
- Software.- Herramienta informática (programas, aplicaciones, sistemas, bases de datos)
- Hardware.- Todo equipo de computación y comunicación, incluyendo sus partes y piezas.
- Personas.- Todo ser humano que conoce información de la CNT EP.
Amenaza.- Causa potencial de un incidente y que puedeatentar contra la Seguridad de la Información
Vulnerabilidad.- Debilidad o carencia que potencialmente permite que una amenaza afecte a un activo.
Riesgo.- Probabilidad de que una amenaza se aproveche de una vulnerabilidad y ocasione un incidente.
Tratamiento de Riesgos.- Se refiere a acciones que pueden ejecutarse para mitigar la probabilidad de ocurrencia de un incidente o minimizar su impactohacia los activos de información:
- Evitar.- Evitar el riesgo mediante la eliminación de la causa de éste.
- Aceptar.- Aceptar el riesgo potencial y continuar operando tal como se ha estado haciendo.
- Transferir.- Transferir el riesgo mediante el uso de otras opciones que compensen la pérdida, tales como la adquisición de pólizas de seguro o entrega del activo a un tercero que asuma el control yla operación del mismo.
- Mitigar.- Implementación de los controles que reduzcan la probabilidad de que la amenaza explote una vulnerabilidad (El universo de controles es establecido por el Anexo A de la norma ISO27001).
Características de la Información Segura
- Confidencialidad.- La información está disponible y no es divulgada a personas, entidades o procesos no-autorizados
-Disponibilidad.- La información está disponible y utilizable cuando y como lo requiera una entidad autorizada.
- Integridad.- Exactitud de los datos y los cálculos e integridad de los activos.
Incidente.- Evento no deseado y no esperado, producto de la materialización de un riesgo.
Atributos del Negocio.- Se refieren a los atributos identificados a partir de La Visión, La Misión y El Plan Estratégico de laCNT EP, los mismos que deben ser soportados por el SGSI.
- Innovación
- Excelencia
- Servicio al Cliente
- Imagen y Reputación
Sistema de Gestión de Seguridad de la Información.- Conjunto de controles metodológicamente implementados que mitigan riesgos asociados a la confidencialidad, integridad y disponibilidad de la Información.
Acción correctiva.- Acciones para eliminar la causa de lasno-conformidades con los requisitos del SGSI para poder evitar la recurrencia.
Acción preventiva.- Acción para eliminar la causa de las no-conformidades potenciales de los requisitos SGSI para evitar su ocurrencia.
LA POLÍTICA DEL SGSI CONTIENE A LA POLÍTICA DE SI
Política del SGSI: Es la Política de todo el Sistema, es la intención corporativa de la CNT EP con respecto a la Seguridad de laInformación.
Política de SI: Forma parte del SGSI, es uno de los controles que demanda la ISO 27001:2005.
EVALUACIÓN DE RIESGOS
La evaluación de riesgos es una actividad que se ejecuta durante el primer semestre de cada año con motivo de la actualización del SGSI. El detalle de la evaluación de riegos se encuentra publicado en el sistema MAI bajo el nombre de Metodología de Evaluación de Riesgos....
Leer documento completo
Regístrate para leer el documento completo.