Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Código: 10757-5
Materia: Auditora y Seguridad de Sistemas
Fecha: 24/6/219
6
Organización de la seguridad de la información.
6.1 organización interna
Controlar
7
Gestión de activos
7.1 Responsabilidad por los activos
Objetivo: Lograr y mantener la protección adecuada de los activos de la organización.
Todos los activos deben contabilizarse y tener un propietario designado.
Los propietarios deben identificarse para todos los activos y la responsabilidad del
mantenimiento de Los controles deben ser asignados. La implementación de controles
específicos puede ser delegada por el propietario.
Según corresponda, pero el propietario sigue siendo responsable de la protección
adecuada de los activos.
8
Seguridad de los recursos humanos
8.1 Antes del empleo 3
Objetivo: Asegurar que los empleados, contratistas y usuarios terceros entiendan sus
responsabilidades, y son adecuados para las funciones para las que son considerados, y
para reducir el riesgo de robo,
Fraude o mal uso de instalaciones.
Las responsabilidades de seguridad deben abordarse antes del empleo en descripciones de
trabajo adecuadas y en Términos y condiciones de empleo.
Todos los candidatos para el empleo, contratistas y usuarios de terceros deben ser
evaluados adecuadamente, Especialmente para trabajos sensibles.
Los empleados, contratistas y usuarios terceros de las instalaciones de procesamiento de
información deben firmar un acuerdo sobre sus funciones de seguridad y
responsabilidades.
8.1.2 Proyección
Controlar
Verificación de antecedentes de todos los candidatos para empleo, contratistas y usuarios
externos debe llevarse a cabo de conformidad con las leyes, reglamentos y ética
pertinentes, y proporcional a lo requisitos del negocio, la clasificación de la información
a la que se accede y los riesgos percibidos.
9
Seguridad física y ambiental.
9.1 Zonas seguras
Objetivo: prevenir el acceso físico no autorizado, los daños y las interferencias a la
organización.
Locales e información.
Las instalaciones de procesamiento de información crítica o sensible deben estar ubicadas
en áreas seguras, protegidas por Perímetros de seguridad definidos, con barreras de
seguridad adecuadas y controles de entrada. Ellos deberían ser Protegido físicamente del
acceso no autorizado, daños e interferencias.
La protección provista debe ser proporcional a los riesgos identificados.
10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de información no autorizadas.
Los sistemas deben ser monitoreados y los eventos de seguridad de la información deben
ser registrados. Registros del operador y el registro de fallas debe usarse para asegurar que
se identifiquen los problemas del sistema de información.
Una organización debe cumplir con todos los requisitos legales pertinentes aplicables a su
supervisión y actividades de tala. El monitoreo del sistema se debe utilizar para verificar
la efectividad de los controles adoptados y para verificar Conformidad con un modelo de
política de acceso.
11 control de acceso
11.1 Requisito comercial para el control de acceso
Objetivo: Controlar el acceso a la información.
El acceso a la información, las instalaciones de procesamiento de información y los
procesos de negocios deben ser controlados.
Sobre la base de los requisitos comerciales y de seguridad.
Las reglas de control de acceso deben tener en cuenta las políticas de divulgación y
autorización de la información.
11.7.2 Teletrabajo
Controlar
Se debe desarrollar e implementar una política, planes operativos y procedimientos para el
teletrabajo. ocupaciones.
15 Cumplimiento
15.1 Cumplimiento de los requisitos legales.
Objetivo: Evitar el incumplimiento de cualquier ley, obligaciones legales, reglamentarias
o contractuales, y de cualquier requerimientos de seguridad.
El diseño, el funcionamiento, el uso y la gestión de los sistemas de información pueden
estar sujetos a normas legales,
Requisitos regulatorios, y contractuales de seguridad.
Se debe solicitar asesoramiento sobre los requisitos legales específicos a los asesores
legales de la organización, o Profesionales jurídicos debidamente cualificados. Los
requisitos legislativos varían de un país a otro y pueden varían para la información creada
en un país que se transmite a otro país (es decir, a
flujo de datos).
Deben existir controles para salvaguardar los sistemas operativos y las herramientas de
auditoría durante los sistemas de información. Auditorias
También se requiere protección para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditoría.
Anexo b
(informativo)
Término y plazo de propiedad
B.1 propiedad a plazo
El propietario del término para la familia de estándares ISO / IEC 27000 es
el estándar que inicialmente define el
término. El propietario del término también es responsable de mantener la
definición, es decir,
- proporcionando,
- revisando,
- actualización, y
- quitando
NOTA 1 ISO / IEC 27000 nunca se determina como el término propietario.
NOTA 2 ISO / IEC 27001 e ISO / IEC 27006, como estándares normativos (es
decir, que contienen requisitos) siempre
prevalecerá como respectivo titular del término.
B.2 Términos ordenados por las Normas
Bibliografia