Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FACULTAD DE INGENIERIA
LIMA-PER-2015
FUNCIONAMIENTO
IMPORTANCIA
Seccin 0 introduccin
Seccin 1 alcance
Seccin 2 referencias normativas
Seccin 3 trminos y definiciones
Seccin 4 contexto de la organizacin
Seccin 5 liderazgo
Seccin 6 planificacin
Seccin 7 apoyo
Seccin 8 funcionamiento
Seccin 9 evaluacin del desempeo
Seccin 10 mejora
Anexo A este anexo proporciona un catlogo de 114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones a.5 a a.18).
PARA IMPLEMENTAR LA NORMA ISO 27001 SE TIENE QUE SEGUIR ESTOS 16 PASOS:
El punto inicial es establecer el contexto sobre el cual se va llevar a cabo la gestin del riesgo de la
seguridad de la informacin; para lo cual se deber de agenciarse de toda la documentacin
necesaria de la organizacin esta documentacin puede incluir registros vitales (procedimientos,
polticas, reglamentos, etc.).
Establecer el contexto implica, definir los criterios bsicos que son necesarios y definir cul es el
propsito de la Gestin del Riesgo de la Seguridad de la Informacin. El propsito puede ser para:
Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo que aborde
los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de impacto, criterios de
aceptacin del riesgo.
Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles para:
Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo;
Definir e implementar las polticas y los procedimientos, que incluyan la implementacin delos
controles seleccionados;
Monitorear los controles ;
Monitorear los procesos de gestin del riesgo en la seguridad de la informacin.
El establecimiento del contexto debe definir un alcance y un lmite de la gestin del riesgo en la
seguridad de la informacin, con el fin de garantizar que todos los activos relevantes se toman en
consideracin en la valoracin del riesgo. El alcance y lmite debe basarse en la misin, sus valores,
su estructura y su estrategia, sus lugares y el medio ambiente cultural; tambin debe considerarse
las limitaciones presupuestarias, culturales, polticas y tcnicas.
La organizacin adopta en base a la evaluacin realizada del riesgo el tratamiento aplicado al activo
de informacin, este puede clasificar como una de las siguientes opciones:
En el caso se opte como un tratamiento del riesgo el Aceptar, esta decisin debe ser documentada y
registrada por Alta Direccin.
La informacin acerca del riesgo se debera intercambiar y/o compartir entre la persona que toma la
decisin y las otras partes involucradas.
Los riesgos y sus factores deben ser peridicamente revisado y la informacin que resulte delas
revisiones debe servir como insumo para las siguientes iteraciones del Sistema.