Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 12 vistas

    Declaración de Aplicabilidad - Modificado

    Cargado por

    Sergio Jair Sierra Beltran

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado

    También podría gustarte

    Declaración de Aplicabilidad - Modificado

    Cargado por

    Sergio Jair Sierra Beltran
    12 vistas5 páginas

    Título original

    Declaración de aplicabilidad - Modificado

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas5 páginas

    Declaración de Aplicabilidad - Modificado

    Cargado por

    Sergio Jair Sierra Beltran

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    COMPANY Uso interno

    DECLARACION DE APLICABILIDAD

    Versión: 1

    Fecha de la Versión: 03/11/2019

    Creado por: Sergio Sierra

    Aprobado por: CISO

    Nivel de confidencialidad: Uso Interno


    COMPANY Uso interno

    Historial de modificación

    Fecha Versión Creado por Descripción de la modificación

    03/11/2019 1 Sergio Sierra Lanzamiento

    1. Objetivo, alcance y usuarios


    COMPANY Uso interno

    El objetivo del presente documento es definir qué y cuales controles son adecuados para
    implementar en [nombre de la organización]. También tiene como objetivo aprobar riesgos
    residuales y aprobar formalmente la implementación de los controles mencionados.

    Este documento incluye todos los controles detallados en el Anexo A de la norma ISO 27001. Los
    controles se aplican a todo el alcance del Sistema de gestión de seguridad de la información (SGSI).

    Los usuarios de este documento son todos empleados de I&C ENGINEERS LTDA que cumplen una
    función dentro del SGSI.

    2. Documentos de referencia
     Norma ISO/IEC 27001, capítulo 6.1.3 d)
     Política de Seguridad de la Información
     Metodología de evaluación y tratamiento de riesgos
     Informe de evaluación y tratamiento de riesgos

    3. Aplicabilidad de los controles


    Aplicabilidad: Define si el control se implementa en la organización.

    Justificación: Requerimiento regulatorio (R), obligación contractual (C), Requerimientos del


    negocio (N), Análisis de Riesgos (AR). Si es una exclusión describir el argumento.

    Método de implementación: Especificar documentación, control técnico, describir el proceso.


    Dejar en blanco si el control está marcado como no aplica.

    Objetivos de control: Deben ser definidos para cada uno de los controles y deberían ser
    cuantificables.

    Estado: Indica el estado de la implementación; por ejemplo, "Planificado", "Parcialmente


    implementado", "Totalmente implementado". Dejar en blanco si los controles están marcados
    como no aplicable.
    Nombre control según Aplicabilidad Justificación Objetivos de control Método de Estado
    la norma ISO/IEC (SÍ/NO) implementación
    ID Control 27001
    COMPANY
    A.5 POLITICAS DE LA SEGURIDAD DE LA INFORMACIÓN Uso interno
    A.5.1 ORENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
    SI Se debe tener una Brindar apoyo y Generar el
    política de seguridad orientación a la documento de
    Se debería definir un de la información dirección con Política de Seguridad
    conjunto de políticas apalancada desde la respecto a la de la Información de
    para la seguridad de la dirección para seguridad de la la organización.
    información, aprobada respaldar la información,
    por la dirección, información de la de acuerdo con los
    publicada y comunicada organización requisitos del
    a los empleados y negocio y los
    partes externas reglamentos y las
    A.5.1.1 pertinentes. leyes pertinentes
    Las políticas para la SI Se debe evaluar Brindar apoyo y Definir el
    seguridad de la constante y orientación a la procedimiento para
    información se deben periódicamente la dirección con la revisión de la
    revisar a intervalos política de seguridad respecto a la política.
    planificados, o si con el fin de seguridad de la
    ocurren cambios garantizar la mejora información,
    significativos, para continua y de acuerdo con los
    asegurar su adaptación a los requisitos del
    conveniencia, cambios negocio y los
    adecuación y eficacia reglamentarios. reglamentos y las
    A.5.1.2 continuas. leyes pertinentes
    A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
    Organización interna
    A.6.1
    La dirección debe SI Es importante que la gestionar la Definición del plan
    apoyar activamente la alta dirección seguridad de la de comunicación y
    seguridad dentro de la incorpore en su información dentro capacitación
    organización con un estrategia y cultura adoptado por la
    de la organización
    rumbo claro, un organizacional, la organización bajo el
    compromiso seguridad de la respaldo de la alta
    demostrado, una información para dirección.
    asignación explícita y el garantizar un
    conocimiento de las funcionamiento
    responsabilidades de la seguro y respaldado.
    seguridad de la
    A.6.1.1 información
    Las actividades de la SI Se deben asignar los gestionar la Dar a conocer la
    seguridad de la roles específicos seguridad de la estructura y
    COMPANY Uso interno

    4. Aceptación de los Riesgos residuales


    Se debe obtener una aprobación de la dirección para implementar el SGSI, así como una declaración donde se manifieste que se aceptan los
    riesgos residuales.

    La dirección debe aprobar después de revisar y evaluar el tratamiento de riesgos.

    También podría gustarte