Está en la página 1de 3

ISO 27005

Estructura de esta norma


Contiene 12 Clausulas y 6 anexos que apoyan el desarrollo de cada una de las clausulas para la
implementacin de esta norma.

Objeto y Campo de Aplicacin.: Esta norma proporciona directrices para la gestin del
riesgo en la seguridad de la informacin en una organizacin y adems dar soporte a la
norma ISO27001 la cual trata del diseo e implementacin monitoreo y el mantenimiento
de un sistema de gestin de seguridad de la informacin.
Referencia normativa.: son la norma iso27001 y la norma iso27002 es necesario estudiar las
3 normas para un correcto entendimiento de todo el proceso en lo que se refiere a un
sistema de gestin de seguridad de la informacin.
Trminos y Definiciones.: Observamos un listado de todos los trminos y sus definiciones
que son utilizados para el correcto entendimiento de esta norma adems estos trminos son
utilizados en la ISO27001 y 27002.
Estructura.: La estructura de esta norma contiene la descripcin de todos los procesos para
la gestin del riesgo en la seguridad de la informacin y cada una de las actividades para
cumplir con estos procesos es necesario establecer un enfoque sistmico para as saber que
estas actividades se estructuran de la siguiente manera con: ENTRADAS conjunto de
acciones y una SALIDA, cada una las actividades que apoyan los procesos deben estar
estructurados en forma sistmica.
Informacin General.: esta norma nos recalca que es necesario establecer un enfoque
sistmico para la gestin del riesgo es ah donde vemos que tenemos cuando establecemos
una correcta gestin del riesgo como por ejemplo logramos identificar los riesgos, valorar los
riesgos en trminos de consecuencias y probabilidades de ocurrencia, priorizar el
tratamiento de los riesgos participacin de los interesados en la gestin y mantenerlos
informados y adems educar a todos los dems directores y al personal involucrado en el
proceso de gestin del riesgo.
Visin General.: El proceso de gestin del riesgo en la seguridad de la informacin se la
puede resumir con el siguiente grfico.

Establecimiento del Contexto.: Definimos alcances y caractersticas del negocio,


establecemos criterios bsicos para la gestin del riesgo definir una poltica adems
establecer un proceso o un enfoque para la gestin del riesgo. Debemos tener en cuenta
que aspectos legales y reglamentarios estamos sometidos como son nuestras
operaciones que tecnologa disponemos con que finanzas disponemos y que factores
sociales y humanitarios nos influyen.
Identificacin del riesgo.: El propsito de la identificacin del riesgo es determinar qu
podra suceder que cause una prdida potencial, y llegar a comprender el cmo, dnde y
por qu podra ocurrir esta prdida.
Estimacin del riesgo.: El anlisis del riesgo se puede realizar con diferentes grados
de detalle dependiendo de la criticidad de los activos, la amplitud de las vulnerabilidades
conocidas y los incidentes anteriores que implicaron a la organizacin. Una metodologa
de estimacin puede ser cualitativa o cuantitativa, o una combinacin de ellas,
dependiendo de las circunstancias
Evaluacin del Riesgo.: Entrada: una lista de los riesgos con niveles de valor asignado
y criterios para la evaluacin del riesgo. Accin: se deberan comparar los niveles de
riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin (se
relaciona con ISO/IEC 27001.
Tratamiento del riesgo.: Debemos establecer unos controles para reducir, retener, evitar
o trasferir los riesgos como ya tenemos un plan de tratamiento definido es en aquel que
debemos apoyar y sustentar debemos tener en cuenta que cuando implementamos un plan
para el tratamiento del riesgo se presentaran algunas restricciones cuan vamos a seleccionar
algunos controles como por ejemplo restricciones de tiempo, financieras tcnicas operativas
legales entre otras.

Aceptacin del Riesgo.: es en este punto donde la organizacin tiene conocimiento


riesgo y le da una valoracin y le da un tratamiento de acuerdo a ese tratamiento los
riesgos pueden resultar riesgos residuales los cuales tambin hay que hacerles un
procedimiento de estimacin y realizar un tratamiento adecuado
Comunicacin del riesgo.: La comunicacin del riesgo se debe hacer durante todo el
proceso y debe ser bidireccional todos los integrantes de la organizacin deben conocer
los riesgos y estar al tanto de lo que est sucediendo en el proceso que se est llevando
adems se debe hacer un proceso de seguimiento y monitoreo una revisin continua de
todo el proceso de gestin del riesgo.