NIST SP 800-30

Que es ?

Es una guía de Gestión de Riesgos para Sistemas de Tecnología de la

Información. El NIST (National Institute of Standards and Technology)
contiene una serie de publicaciones especiales, la SP 800, enfocadas a la
seguridad de la información. Estas series contienen una metodología para el
análisis y gestión de riesgos de seguridad de la información.
 Objetivos de la norma

-Aseguramiento de los sistemas de Información que almacenan,

procesan y transmiten información.
-Gestión de Riesgos
-Optimizar la administración de Riesgos a partir del resultado en el
análisis de riesgos.
-Proteger las habilidades de la organización para alcanzar su misión
(no solamente relacionada a la IT, sino de toda la empresa)
-Ser una función esencial de la administración (no solo limitada a
funciones técnicas de IT)
 Realización de evaluaciones de riesgos relacionados
con la seguridad de información

-Discute el proceso de gestión de riesgos y cómo las evaluaciones de riesgos son

una parte integral de ese proceso.
-La publicación es una guía para las agencias, organizaciones e instituciones en la
realización de evaluaciones de riesgos de los sistemas de información
-Enumera una serie de «pasos» en el proceso de evaluación de riesgos:
la preparación de la evaluación.
la realización de la evaluación,.
comunicar los resultados de la evaluación, y el mantenimiento de la evaluación.
Proceso de gestión de riesgo