Documentos de Académico
Documentos de Profesional
Documentos de Cultura
06 Lzy Iso27001
06 Lzy Iso27001
AGENDA
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
CONCEPTOS BSICOS
QU ES LA NORMA ISO/IEC 27001:2005?
ORIGEN NORMA ISO/IEC 27001:2005?
CONTENIDO NORMA ISO/IEC 27001:2005
METODOLOGA Y CICLO DE IMPLEMENTACIN
DOMINIOS DE SEGURIDAD
CONCEPTOS BSICOS
Activo
Se refiere a cualquier informacin o sistema relacionado con el
tratamiento de la misma que tenga valor para la organizacin.
Confidencialidad
Acceso a la informacin por parte nicamente de quienes
mmmm mmm estn autorizados.
Disponibilidad
Acceso a la informacin y los sistemas de tratamiento de la
misma por parte de los usuarios autorizados cuando lo requieran.
Integridad
Mantenimiento de la exactitud y completitud de la
mmmmmmmm informacin y sus mtodos de proceso.
0. Introduccin
1. Objeto
2. Referencias normativas
3. Trminos y definiciones
4. Sistema de gestin de la seguridad de la informacin
5. Responsabilidades de la Direccin
6. Auditorias internas del SGSI
7. Revisin del SGSI por la direccin
8. Mejora de SGSI
Anexo A. Resumen de controles
Anexo B. Relacin con los Principios de la OCDE
Anexo C. Correspondencia con otras normas
Bibliografa
A
V
de riesgos
Implantar controles seleccionados y
sus indicadores
Implantar el Sistema de Gestin
Revisin Gerencial
Desarrollar procesos de monitorizacin
Revisar regularmente el SGSI
Revisar los niveles de riesgo
Auditar internamente el SGSI
POLTICA DE SEGURIDAD
ORGANIZACIN DE SEGURIDAD
Disponibilidad
Integridad
GESTIN DE ACTIVOS
SEGURIDAD DE LOS RECURSOS HUMANOS
SEGURIDAD FSICA Y DEL ENTORNO
INFORMACIN
Confidencialidad
POLTICA DE SEGURIDAD
Objetivo:
Poltica de seguridad de la informacin: brindar apoyo y orientacin a la
direccin con respecto a la seguridad de la informacin, de acuerdo con los
requisitos del negocio y los reglamentos y las leyes pertinentes.
Objetivo:
Organizacin Interna: gestionar la seguridad de la informacin dentro de la
organizacin.
GESTIN DE ACTIVOS
Objetivo:
Responsabilidad por los activos: lograr y mantener la proteccin adecuada
de los activos organizacionales.
Objetivo:
Antes de la contratacin laboral: asegurar que los empleados, contratistas,
y usuarios por tercera parte entienden sus responsabilidades y son adecuados para
los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso
inadecuado de las instalaciones.
Objetivo:
reas seguras: evitar el acceso fsico no autorizado, el dao e interferencia a las
instalaciones y a la informacin de la organizacin.
Seguridad de los equipos: evitar prdida, dao, robo o puesta en peligro de los
activos y la interrupcin de las actividades de la organizacin.
Objetivo:
Procedimientos
operacionales
responsabilidades:
asegurar
operacin correcta y segura de los servicios de procesamiento de informacin.
la
Objetivo:
Proteccin contra cdigos maliciosos y mviles: proteger la integridad
del software y de la informacin.
Objetivo:
Intercambio de la Informacin: mantener la seguridad de la informacin y
del software que se intercambian dentro de la organizacin y con cualquier
entidad externa.
CONTROL DE ACCESO
Objetivo:
Requisito del negocio para el control de acceso: controlar el acceso a la
informacin.
CONTROL DE ACCESO
Objetivo:
Control de acceso al sistema operativo: evitar el acceso no autorizado a
los sistemas operativos.
Objetivo:
Requisitos de seguridad de los sistemas de informacin: garantizar que
la seguridad es parte integral de los sistemas de informacin.
Objetivo:
Seguridad de los archivos del sistema: garantizar la seguridad de los
archivos del Sistema.
Objetivo:
Reporte sobre los eventos y las debilidades de la seguridad de la
informacin: asegurar que los eventos y las debilidades de la seguridad de la
informacin asociados con los sistemas de informacin se comunican de forma tal
que permiten tomar las acciones correctivas oportunamente.
Objetivo:
Aspectos de seguridad de la informacin, de la gestin de la
continuidad del negocio: contrarrestar las interrupciones en las actividades
del negocio y proteger sus procesos crticos contra los efectos de fallas
importantes en los sistemas de informacin o contra desastres, y asegurar su
recuperacin oportuna.
CUMPLIMIENTO
Objetivo:
Cumplimiento de los requisitos legales: evitar el incumplimiento de
cualquier ley de obligaciones estatutarias, reglamentarias o contractuales y de
cualquier requisito de seguridad.