NORMA ISO
27001:2005
Integrantes:
Mario Giovanni Guerrero Flores
María Victoria Martínez Andrade
Mercedes del Carmen Silva Rocha
Juan Antonio Cerrillo Rivera
Antonio de Jesús Pere Gómez
Luisa Alejandra Gallo Fonseca
Introducción
Esta norma internacional proporciona un
modelo
para
la
creación,
implementación, operación, supervisión,
revisión, mantenimiento y mejora de un
Sistema deGestión de la Seguridad de
la Información (SGSI).
La adopción de un SGSI debería ser fruto
de una decisión estratégica de una
organización.
El diseño y la implementación del SGSI
A.5 Política de seguridad
A.5.1 Política de seguridad de la información
Objetivo: Proporcionar indicaciones para la gestión y
soporte de la seguridad de la información de acuerdo
con los requisitos empresariales y conla legislación y las
normativas aplicables
A.5.1.
1
Documento de
política de
seguridad de la
información
Control La Dirección debe aprobar un
documento de política de seguridad de la
información, publicarlo y distribuirlo
a todos los empleados y terceros
afectados.
A.5.1.
2
Revisión de la
política de
seguridad de la
Información
Control La política de seguridad de la
información debe revisarsea intervalos
planificados o siempre que se produzcan
cambios significativos, a fin de asegurar
que se mantenga su idoneidad,
adecuación y eficacia.
A.6 Aspectos organizativos de la
seguridad de la información
A.6.1 Organización interna
Objetivo: Gestionar la seguridad de la información dentro de la
organización.
A.6.1. Comité de
Control La Dirección debe prestar un apoyo
1
gestión deactivo a la seguridad dentro de la
seguridad de la
organización a través de directrices claras, un
información.
compromiso demostrado, asignaciones
explícitas y el reconocimiento de las
responsabilidades de seguridad de la
información.
A.6.1.
2
Coordinación de
Control Las actividades relativas a la
la seguridad de la seguridad de la información deben ser
información
coordinadas entre losrepresentantes de las
diferentes partes de la organización con sus
correspondientes roles y funciones de trabajo.
A.6.1.
3
Asignación de
responsabilidades
relativas a la
seguridad de la
información
Control Deben definirse claramente todas
las responsabilidades relativas a la
seguridad de la información.
A.6.1.
4
Proceso de
autorización de
recursos para el
procesado de la
información
Control Para cadanuevo recurso de
procesado de la información, debe
definirse e implantarse un proceso de
autorización por parte de la Dirección.
A.6.1.
5
Acuerdos de
confidencialidad
Control Debe determinarse y revisarse
periódicamente la
necesidad de establecer acuerdos de
confidencialidad o no revelación, que
reflejen las necesidades de la organización
para la protección de la información.
A.6.1.
6Contacto con las
autoridades
Control Deben mantenerse los contactos
adecuados con las autoridades competentes.
A.6.1.
7
Contacto con grupos
de especial interés
Control Deben mantenerse los contactos
apropiados con grupos de interés especial, u
otros foros, y asociaciones profesionales
especializados en seguridad.
A.6.1.
8
Revisión
independiente de la
seguridad de
la información
Control Elenfoque de la organización para la
gestión de la seguridad de la información y
su implantación (es decir, los objetivos de
control, los controles, las políticas, los
procesos y los procedimientos para la
seguridad de la
información), debe someterse a una revisión
independiente a intervalos planificados o
siempre que se produzcan
cambios significativos en la implantación de
la seguridad
A.6.2Terceros
Objetivo: Mantener la seguridad de la información de la organización y de
los dispositivos de procesado de la información que son objeto de acceso,
tratamiento, comunicación o gestión por terceros.
A.6.2.1 Identificación
de los riesgos
derivados del
acceso de
terceros
Control Deben identificarse los riesgos para la
información y para los dispositivos de procesado de la
información de la...
Regístrate para leer el documento completo.