Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • AA1-E5-Aplicación de La Norma ISO 27002

    Cargado por

    JOHN JAIRO ANDRADE CANCIMANCE
    5 vistas2 páginas

    Título original

    AA1-E5-Aplicación de la norma ISO 27002

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas2 páginas

    AA1-E5-Aplicación de La Norma ISO 27002

    Cargado por

    JOHN JAIRO ANDRADE CANCIMANCE

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    Introducción

    La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC27000 en
    las que se reúnen prácticas para desarrollar, implementar y mantener sistemas de gestión de
    seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39
    objetivos de control y 133 controles.

    A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
    momento de evaluar los controles de cada uno de los dominios de la norma ISO27002:

    Policita de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la


    seguridad de la información en relación a los requisitos del negocio y regulaciones relevantes.

    Estructura organizativa para la seguridad

    Organización interna: Estos controles gestionan la seguridad de la información dentro de la


    organización. El órgano de dirección debe apoyar la política de seguridad de la información,
    asignando los roles de seguridad y coordinando la implementación de la seguridad en todas las
    organizaciones.

    Terceras partes: Estos controles velan por mantener la seguridad de los recursos de tratamiento
    de la información y de los activos informáticos de la organización.

    Clasificación y control de activos: Responsabilidad sobre los activos, estos controles pretenden
    alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
    control de la información, se encuentra clasificada para identificar las necesidades, prioridades y
    nivel de protección previsto para su tratamiento.

    Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
    contratiastas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
    funciones que desarrollan, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
    medios tecnológicos.

    Seguridad física y del entorno

    Áreas seguras: Los servicios y procesamientos de información sensible deben ser ubicados en
    áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de
    entrada, protegidas físicamente contra accesos no autorizados.

    Seguridad de los equipos: Se enfoca en los controles de protección contra amenazas físicas y para
    salvaguardar servicios de apoyo como energía eléctrica e infraestructura de cableado.

    Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un


    nivel apropiado de seguridad de la información, además de la operación correcta y segura de los
    recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y
    asegurando la protección de la información en las redes y la protección de su infraestructura de
    apoyó.
    Control de Accesos: Controla los accesos a la información de los recursos de tratamiento de la
    información en base a la necesidad de seguridad de la organización y las políticas para el control
    de acceso.

    Desarrollo y mantenimiento de sistemas: Se diseñan y desarrolla controles adicionales para los


    sistemas que procesan i tiene algún efecto en activos de información de carácter sensible, valioso
    o crítico. Dichos controles se determinan en función de los requisitos de seguridad y la estimación
    de riesgo.

    Gestión de incidentes de seguridad de la información: Se establece informes de los eventos y de


    los procedimientos realizados, todos los empleados, contratistas y terceros deben estar al tanto de
    los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan
    tener impacto en la seguridad de los activos de la organización.

    Gestión de la continuidad del negocio: La seguridad de la información debe ser una parte integral
    de la organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y
    asegurar la reanudación a tiempo de las operaciones esenciales.

    Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,


    regulación u obligación contractual y de cualquier requisito de la seguridad dentro y fuera de la
    organización o por profesionales del área. Además, se deberían realizar revisiones de la seguridad
    de los sistemas de información.

    OBJETIVO DE LA AUDITORIA

     Evaluar la conformidad del sistema de gestión de seguridad de la información regida bajo


    la norma ISO 27002.
     Revisar la situación actual de la empresa identificando las condiciones de seguridad de la
    información.
     Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de
    seguridad de la información con base a la norma ISO 27002.

    También podría gustarte