SGSI 27001

Documento de
Definir La la Política
FASE 1 Política

Definir El Alcance Alcance Del

FASE 2 del SGSI SGSI

Análisis de Activos de
información

FASE 3 Análisis del

Análisis de Riesgo Riesgo
Gestión del riesgo
Definir Amenazas y
desde el punto de vista
Vulnerabilidades
organizacional

FASE 4 Grado de
Aseguramiento Resultados y
requerido Gestión del Riesgo
Conclusiones
 Controles Selección de Controles Seleccionados
propuestos por la
Noma controles a
implementar
FASE 5 Controles
Adicionales

Controles Seleccionados Declaración de

Aplicabilidad
Declaración de
FASE 6 Controles
Aplicabilidad
propuestos por la
norma

FASE 7
Revisión del sistema Revisión del SGSI
Medidas Preventivas
Medidas Correctivas
Propuestas de Mejora

Plan de Auditorias

AUDITORIA INTERNA
 METODO DE EVALUACION Y TRATAMIENTO DEL RIESGO

Identificación de Activos

Amenazas Vulnerabilidades Requisitos Legales

Análisis de Impacto

Seleccionar e implementar controles

Tratamiento del riesgo

Transferir el
Asumir el riesgo Reducir el riesgo Eliminar el riesgo riesgo
 ISO 27005

Establecimiento del contexto Evaluación del riesgo

Aceptación del riesgo Tratamiento del riesgo

Monitorización y revisión del

Comunicación del riesgo riesgo
 TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DEL
AL INFORMACION

Reducción del Retención del Transferencia Evitación del

riesgo riesgo del riesgo riesgo

Si el nivel de
Hay que Involucra una
riesgo satisface
considerar las decisión para Cuando el riesgo
los criterios para
siguientes compartir algunos es alto, se puede
su aceptación , no
restricciones al riesgos con las tomar una decisión
es necesario
seleccionar los partes externas . L para evitar por
implementar
controles a transferencia completo el riesgo
controles
puede puede mediante una
crear nuevos actividad
riesgos o modificar planificada
el riesgo
-Restricciones de tiempo
- Restricciones financieras.
- Restricciones Operativas
- - Restricciones éticas
- - Restricciones legales etc.
 ACEPTACIÓN DEL R RIESGO EN LA
SEGURIDAD DE LA INFORMACIÓN

Los criterios de aceptación del riesgo pueden ser mas complejos que solo se
determinan cuando el riesgo es residual que esta por encima o por debajo del
umbral.
 6, ESTABLECIMIENTO DEL
Monitoreo y revisión de los CONTEXTO Monitoreo, revisión y mejora de la
factores de riesgo: gestión del riesgo

Los riesgos no son estáticos, las

amenazas, las vulnerabilidades, la Ellos son necesarios para
probabilidad, pueden cambiar garantizar que el contexto, el
abruptamente sin ninguna Resultado d e la evaluación,
indicación el tratamiento siguen siendo
pertinentes

Las organizaciones deberían

garantizar el monitoreo continuo
de los siguientes aspectos: - Contexto legal y ambiental.
- -Contexto de competición
- .-Enfoque para la evaluación
- Activos nuevos que se han del riesgo.
- -Criterios de impacto.
incluido en el alcance de la - -criterios de evaluación del
gestión del riesgo.
- - Modificaciones necesarias delos riesgo.
- -Criterios aceptación del
valores de los activos.
- -Amenazas nuevas que podrán riesgo.
- - Recurso necesarios.
estar activas.
- -Vulnerabilidades identificadas.-
incidentes de la seguridad de la
información.