Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Iso 27003-04-05-06 guía implementación

    Cargado por

    Beymar Aliaga
    95 vistas8 páginas
    Este documento resume las normas ISO 27003, 27004, 27005 y 27006 relacionadas con la gestión de seguridad de la información. Brevemente describe que la ISO 27003 se enfoca en los aspectos requeridos para el diseño e implementación exitosa de un sistema de gestión de seguridad de la información de acuerdo a la ISO 27001. La ISO 27004 proporciona lineamientos para medir los resultados de un sistema de gestión de seguridad de la información basado en la ISO 27000. La ISO 27005 provee directrices para la gestión de riesgos relacion

    Descripción original:

    Título original

    Iso 27003-4-5-6

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento resume las normas ISO 27003, 27004, 27005 y 27006 relacionadas con la gestión de seguridad de la información. Brevemente describe que la ISO 27003 se enfoca en los aspectos requeridos para el diseño e implementación exitosa de un sistema de gestión de seguridad de la información de acuerdo a la ISO 27001. La ISO 27004 proporciona lineamientos para medir los resultados de un sistema de gestión de seguridad de la información basado en la ISO 27000. La ISO 27005 provee directrices para la gestión de riesgos relacion

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    95 vistas8 páginas

    Iso 27003-04-05-06 guía implementación

    Cargado por

    Beymar Aliaga
    Este documento resume las normas ISO 27003, 27004, 27005 y 27006 relacionadas con la gestión de seguridad de la información. Brevemente describe que la ISO 27003 se enfoca en los aspectos requeridos para el diseño e implementación exitosa de un sistema de gestión de seguridad de la información de acuerdo a la ISO 27001. La ISO 27004 proporciona lineamientos para medir los resultados de un sistema de gestión de seguridad de la información basado en la ISO 27000. La ISO 27005 provee directrices para la gestión de riesgos relacion

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    Título

    Iso 27003-4-5-6
    Nombres y Apellidos Código de estudiantes
    46888
    Autor/es

    Fecha 30/06/2022

    Carrera Ing. Sistemas


    Asignatura Gestión de Calidad
    Grupo A
    Docente Ing. Yokonda Steel Gutierrez Callizaya
    Periodo I/2022
    Académico
    Subsede La Paz
    Título: Iso 27003-04-05-06

    Iso 27003
    Focaliza su atención en los aspectos requeridos para un diseño exitoso una buena
    implementación SGSI- según el estándar ISO 27001.
    Contiene una descripción del proceso del SGSI además el diseño y ejecución de distintos planes
    de implementación.
    Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define
    el proyecto para dicho acometido el cual es llamado en la norma ISO – 27003 proyecto de SGSI,
    da instrucciones sobre cómo abordar la planificación de la gestión para implementar SGSI.
    La norma contiene
    - Alcance
    - Estructura de la norma
    - Obtención de la aprobación de la alta dirección para iniciar un SGSI.
    - Evaluación requerimientos de seguridad de la información.
    - Diseño del SGSI
    - Anexo A: lista de chequeo
    - Anexo B: roles y responsabilidades en seguridad de la información
    - Anexo C: información sobre auditorías externas
    - Estructura sobre las políticas de seguridad
    - Anexo D: Monitoreo y seguimiento del SGSI
    Estructura para implementar un SGSI
    - Obtener la aprobación gerencial para iniciar un proyecto de SGSI
    - Definir el alcance del SGSI y la política del SGSI
    - Realizar un análisis de la organización
    - Valorar los requisitos de seguridad para la información
    - Riesgo y planificar el tratamiento del riesgo
    - Diseñar el SGSI
    Objetivo
    - Es proporcionar orientación practica en el desarrollo del plan de implementación para un
    sistema de gestión de seguridad de información

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 2 de 8
    Título: Iso 27003-04-05-06

    - Tiene como objeto y campo de aplicación críticos necesarios para el diseño e


    implementación exitosa de un sistema de gestión de la seguridad de la información SGSI

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 3 de 8
    Título: Iso 27003-04-05-06

    ISO 27004

    - Normas relacionadas ISO 27004 facilita una serie de mejores prácticas para poder medir el
    resultado de un SGSI basado en la ISO 27000
    - La medición de la seguridad aporta protección a los sistemas de la organización y da
    respuestas a las amenazas de la misma.
    - Expone que el tipo de medidas requeridas dependerá del tamaño de complejidad de la
    organización, de la relación de coste beneficio y del nivel de integración de la seguridad de
    la informacion en los procesos de la propia organización
    - Establece como se deben construir estas medias y como se debe documentar e integrar los
    datos obtenidos en el SGSI
    Etapas propuestas por el SGSI ISO 27004
    - El objetivo de estas etapas es medir la eficacia de la seguridad de información
    - Selección de procesos y objetivos de medición
    - Definición de las líneas de base
    - Recopilación de datos
    - Desarrollo de un método de medición
    Objetivos
    - Elección de los objetivos y procesos de medición: Las organizaciones han de medir el
    alcance de los métodos. En la medición, sólo se consideran aquellos procesos que están
    documentados consistentemente. El rendimiento de los procedimientos o controles y las
    actuaciones del personal son algunos de los objetos de medición.
    - Descripción de las líneas principales: Los valores principales que exponen el punto de
    referencia han de determinarse para cada objeto que está siendo medido.
    - Selección de datos: Los datos han de ser precisos, oportunos y dimensionales. Se pueden
    llevar a cabo técnicas programadas de recogida de datos para conseguir una recopilación
    normalizada y mostrar informes.
    - Desarrollo de un sistema de medición: La secuencia racional de operaciones según la
    norma ISO27004 se aplica en diferentes atributos del objeto escogido para la medición. Se

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 4 de 8
    Título: Iso 27003-04-05-06

    emplean indicadores como surtidor de datos para una mejora en el rendimiento de


    programas relacionados con la seguridad de la información.
    - Interpretación de los valores medidos: Se ha de identificar las grietas entre los valores
    iniciales y los de medición real a través de la tecnología y los procedimientos apropiados
    para la interpretación y el análisis de dichos valores.
    - Notificación de los valores de medición: Los datos que resulten de la medición han de ser
    notificados a las partes interesadas. Se puede realizar mediante cuadros de mando
    operacional, informes, boletines de noticias o en forma de gráficos.

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 5 de 8
    Título: Iso 27003-04-05-06

    ISO 27005
    La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos
    relativos a la seguridad de información. La norma suministra las directrices para la gestión de
    riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO
    27001.
    Se trata de una norma aplicable a todo tipo de organizaciones que tengan la intención de
    gestionar los riesgos que puedan complicar la seguridad de la información de su organización
    y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000
    de Gestión de la Información y Comunicaciones Tecnología de Seguridad.
    El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en
    aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la
    información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la
    infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas
    organizacionales (factor humano) desde la perspectiva tecnológica.
    Metodología de aplicación
    Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de
    factores relativos a cada empresa que se plantee implantarla como, por ejemplo: el alcance real
    del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia
    industria.
    No obstante, como otras normas ISO y sistemas basados en procesos, un método considerado
    válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la finalidad de
    establecer un proceso de gestión que se enfoque en la mejora día a día siguiendo el siguiente
    esquema:
    Planificar
    Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos
    tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos
    globales de la organización.
    Hacer
    Corresponde a la implementación y operación de los controles, procesos y procedimientos e
    incluye la operación e implementación de las políticas definidas.

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 6 de 8
    Título: Iso 27003-04-05-06

    Verificar
    Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de
    seguridad e informar sobre los resultados.
    Actuar
    Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los
    cambios requeridos para la mejora de los procesos.
    Los cuatro pasos de la implantación
    Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Gestión de
    Seguridad de la Información consiste en establecer una hoja de ruta basada en cuatro pasos:
    1) Establecimiento de plan de comunicación interno y externo
    El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados,
    directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las
    definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances
    del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el
    proceso de gestión dependen de las necesidades y disponibilidad de la organización.
    2) Definición del contexto organizacional
    El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a
    nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos
    actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.
    3) Valoración de los riesgos tecnológicos
    En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus
    debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se
    recomiendan posibles controles de mitigación de los riesgos.
    4) Tratamiento de riegos tecnológicos
    En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo
    para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización.
    Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y
    transferir.

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 7 de 8
    Título: Iso 27003-04-05-06

    ISO 27006
    El estándar normativo ISO 27006
    Se trata de una guía para los organismos de certificación en los procesos formales que hay que
    seguir al auditar Sistemas de Gestión de Seguridad de la Información. Los procedimientos que
    se describen en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO
    27001 es válido.
    ISO 27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen
    la certificación del Sistema de Gestión de Seguridad de la Información. Concretamente se
    encarga de especificar los requisitos y suministrar una especie de manual para llevar a cabo la
    auditoría y la certificación del sistema.
    De esta manera, cualquier organización que esté certificada en ISO 27001 debe cumplir también
    con los requisitos que establece la norma ISO 27006.
    Esta norma de carácter internacional se puede utilizar como un documento de criterios para la
    acreditación, evaluación por pares u otros procesos de auditoría.
    El proceso de certificación consiste en auditar el Sistema de Gestión de Seguridad de la
    Información para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen
    interés pasajero en los controles reales de seguridad de información que están siendo
    administrados por el sistema de gestión. Se supone que cualquier empresa con una queja del
    Sistema de Gestión de Seguridad de la Información, ha de gestionar sus riesgos de seguridad
    de información con diligencia.

    Asignatura: Gestión de Calidad


    Carrera: Ing. Sistemas Página 8 de 8

    También podría gustarte