Herramientas de usuario
master_cs:gsi:tm2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:tm2 [2025/09/22 17:00] – thejuanvisu | master_cs:gsi:tm2 [2026/01/13 22:37] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 95: | Línea 95: | ||
| * La organización debería establecer, implementar, | * La organización debería establecer, implementar, | ||
| - | ===== ISO/IEC 27002 ===== | + | ==== 5. Liderazgo ==== |
| + | * 5.1. Liderazgo y compromiso: | ||
| + | * La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI | ||
| + | * 5.2 Política | ||
| + | * La alta dirección define una política de seguridad de la información que: | ||
| + | * Sea apropiada para el propósito de la organización | ||
| + | * Incluya información de los objetivos de seguridad da la información | ||
| + | * Compromiso de mejora contínua | ||
| + | * Compromiso para satisfacer los requisitos | ||
| + | * La política de seguridad de la información debe: | ||
| + | * Estar disponible como información documentada | ||
| + | * Ser comunicada dentro de la organización | ||
| + | * Estar disponible para las partes interesadas | ||
| + | * 5.3 Funciones, responsabilidades y autoridades de la organización | ||
| + | * Es responsabilidad de la alta dirección garantizar que las funciones, responsabilidades y autoridades se deleguen y comuniquen de manera efectiva. | ||
| + | * La alta dirección debe asignar la responsabilidad para: | ||
| + | * Asegurar que la SGSI es conforme con los requisitos de la ISO 27001 | ||
| + | * Informar sobre los resultados del SGSI a la alta dirección | ||
| + | |||
| + | ==== 6. Plan ==== | ||
| + | === 6.1 Acciones para abordar riesgos y oportunidades === | ||
| + | * 6.1.1 General: | ||
| + | * La organización debe planear: | ||
| + | * Las acciones para abordar los riesgos y oportunidades | ||
| + | * Como integrar e implementar las acciones en procesos del SGSI | ||
| + | * Evaluar la eficacia de dichas acciones | ||
| + | * 6.1.2 Evaluación de reisgos de seguridad de la información | ||
| + | * Establezca y mantenga criterios de riesgo incluyendo: | ||
| + | * El criterio de aceptación de riesgo | ||
| + | * Criterios para realizar evaluaciones de riesgos de seguridad de la información | ||
| + | * Asegura la reproducibilidad de las evaluaciones con resultados consistentes, | ||
| + | * Identifique los riesgos de seguridad de la información y alos propietarios de los riesgos | ||
| + | * Analice los riesgos de seguridad de la información, | ||
| + | * Un análisis de riesgos puede ser desarrollado con cualquier tipo de metodología siempre y cuando sea completa y metódica, siendo el resultado final: | ||
| + | * Clara identificación, | ||
| + | * | ||
| + | * Evalue los riesgos de seguridad de la información, | ||
| + | * 6.1.3 Tratamiento de riesgos de seguridad de la información | ||
| + | * Selecciona las opciones de tratamiento de riesgo | ||
| + | * Determinar todos los controles necesarios para implementar las opciones de tratamiento | ||
| + | * Comparar los controles determinados con los disponibles en el "Anexo A" y verificar que no se han omitido riesgos necesarios. | ||
| + | * Reproducir la declaración de aplicailidad (SOA) | ||
| + | * Controles necesarios | ||
| + | * Justifiación de su inclusión | ||
| + | * Si los controles necesarios están o no implementados | ||
| + | * La justificación de su exclusión. | ||
| + | * Formular el plan de tratamiento de riesgos (RTP) | ||
| + | * Obtener la aprobación del propietario de riesgo para el RTP y aceptación de riesgos residuales | ||
| + | |||
| + | === 6.2 Objetivos de seguridad de la información y planificación para alcanzarlos === | ||
| + | |||
| + | === 6.3 Planificación de los cambios === | ||
| + | Cuando la orgnaización determine la necesidad de los cambios en el SGSI... INCOMPLETO | ||
| + | |||
| + | ==== 7. Soporte ==== | ||
| + | * 7.1 Recursos | ||
| + | * 7.2 Compentencia | ||
| + | * 7.3 Conocimiento | ||
| + | * 7.4 Comunicación | ||
| + | * 7.5 Información documentada | ||
| + | |||
| + | ==== 8. Operación ==== | ||
| + | * 8.1 Planificación y control operacional: | ||
| + | * 8.2 Evaluación de riesgos de seguridad y control de la información: | ||
| + | * 8.3 Tratamiento de riesgos de seguridad de la información: | ||
| + | |||
| + | ==== 9. Evaluación de Rendimiento ==== | ||
| + | * 9.1 Monitorización, | ||
| + | * 9.2 Auditoría interna: La organización debe realizar auditorías internas | ||
| + | * 9.3 Revisión por la dirección: La alta dirección debe revisar la organización del SGSI en intervalos. | ||
| + | |||
| + | ==== 10. Mejora ==== | ||
| + | * 10.1 Mejora contínua: La organización debe mejorar de forma contínua la idoneidad, adecuación y eficacia del SGSI | ||
| + | * 10.2 No conformidades y acciones correctivas | ||
| + | |||
| + | ===== ISO/IEC 27002: Controles | ||
| + | ==== Agrupación de controles ==== | ||
| + | * Controles organizativos: | ||
| + | * Controles sobre personas: Se refiere a las personas (Selección, | ||
| + | * Controles físicos: Perímetros de seguridad, oficinas, instalaciones... | ||
| + | * COntroles Tecnológicos: | ||
| + | |||
| + | ==== ISO 27002:2012: Otros controles ==== | ||
| + | * Punto de arranque apra desarrollar guías en las organizaciones | ||
| + | * No es aplicable a todas las organizaciones | ||
| - | ===== Esquema Nacional de Seguridad ===== | ||
master_cs/gsi/tm2.1758560435.txt.gz · Última modificación: 2025/09/22 17:00 por thejuanvisu
Herramientas de la página
