Herramientas de usuario
master_cs:gsi:tm2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:tm2 [2025/09/22 16:53] – thejuanvisu | master_cs:gsi:tm2 [2025/09/22 18:16] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 69: | Línea 69: | ||
| * Check | * Check | ||
| * Act | * Act | ||
| + | |||
| + | ==== 1. Alcance ==== | ||
| + | Este documento establece los requisitos para elaborar un sistema de gestión de la información, | ||
| + | |||
| + | ==== 2. Referencias normativas ==== | ||
| + | Se referencian las normativas usadas como la 27001. | ||
| + | |||
| + | ==== 3. Términos y definiciones ==== | ||
| + | |||
| + | Terminos y definiciones relevantes en el contexto | ||
| + | |||
| + | ==== 4. Contexto de la organiación ==== | ||
| + | Cubre varios puntos: | ||
| + | * 4.1 Organización: | ||
| + | * 4.2 Partes interesadas: | ||
| + | * Clientes | ||
| + | * Empleados | ||
| + | * Proveedores | ||
| + | * Accionistas | ||
| + | * 4.3 Determinación de alcance del SGSI | ||
| + | * Las cuestiones internas y externas del 4.1 | ||
| + | * Los requisitos del 4.2 | ||
| + | * Las interfaces y dependencias entre actividades realizadas por la organización y las realizadas por otras organizaciones. | ||
| + | * 4.4 SGSI | ||
| + | * La organización debería establecer, implementar, | ||
| + | |||
| + | ==== 5. Liderazgo ==== | ||
| + | * 5.1. Liderazgo y compromiso: | ||
| + | * La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI | ||
| + | * 5.2 Política | ||
| + | * La alta dirección define una política de seguridad de la información que: | ||
| + | * Sea apropiada para el propósito de la organización | ||
| + | * Incluya información de los objetivos de seguridad da la información | ||
| + | * Compromiso de mejora contínua | ||
| + | * Compromiso para satisfacer los requisitos | ||
| + | * La política de seguridad de la información debe: | ||
| + | * Estar disponible como información documentada | ||
| + | * Ser comunicada dentro de la organización | ||
| + | * Estar disponible para las partes interesadas | ||
| + | * 5.3 Funciones, responsabilidades y autoridades de la organización | ||
| + | * Es responsabilidad de la alta dirección garantizar que las funciones, responsabilidades y autoridades se deleguen y comuniquen de manera efectiva. | ||
| + | * La alta dirección debe asignar la responsabilidad para: | ||
| + | * Asegurar que la SGSI es conforme con los requisitos de la ISO 27001 | ||
| + | * Informar sobre los resultados del SGSI a la alta dirección | ||
| + | |||
| + | ==== 6. Plan ==== | ||
| + | === 6.1 Acciones para abordar riesgos y oportunidades === | ||
| + | * 6.1.1 General: | ||
| + | * La organización debe planear: | ||
| + | * Las acciones para abordar los riesgos y oportunidades | ||
| + | * Como integrar e implementar las acciones en procesos del SGSI | ||
| + | * Evaluar la eficacia de dichas acciones | ||
| + | * 6.1.2 Evaluación de reisgos de seguridad de la información | ||
| + | * Establezca y mantenga criterios de riesgo incluyendo: | ||
| + | * El criterio de aceptación de riesgo | ||
| + | * Criterios para realizar evaluaciones de riesgos de seguridad de la información | ||
| + | * Asegura la reproducibilidad de las evaluaciones con resultados consistentes, | ||
| + | * Identifique los riesgos de seguridad de la información y alos propietarios de los riesgos | ||
| + | * Analice los riesgos de seguridad de la información, | ||
| + | * Un análisis de riesgos puede ser desarrollado con cualquier tipo de metodología siempre y cuando sea completa y metódica, siendo el resultado final: | ||
| + | * Clara identificación, | ||
| + | * | ||
| + | * Evalue los riesgos de seguridad de la información, | ||
| + | * 6.1.3 Tratamiento de riesgos de seguridad de la información | ||
| + | * Selecciona las opciones de tratamiento de riesgo | ||
| + | * Determinar todos los controles necesarios para implementar las opciones de tratamiento | ||
| + | * Comparar los controles determinados con los disponibles en el "Anexo A" y verificar que no se han omitido riesgos necesarios. | ||
| + | * Reproducir la declaración de aplicailidad (SOA) | ||
| + | * Controles necesarios | ||
| + | * Justifiación de su inclusión | ||
| + | * Si los controles necesarios están o no implementados | ||
| + | * La justificación de su exclusión. | ||
| + | * Formular el plan de tratamiento de riesgos (RTP) | ||
| + | * Obtener la aprobación del propietario de riesgo para el RTP y aceptación de riesgos residuales | ||
| + | |||
| + | === 6.2 Objetivos de seguridad de la información y planificación para alcanzarlos === | ||
| + | |||
| + | === 6.3 Planificación de los cambios === | ||
| + | Cuando la orgnaización determine la necesidad de los cambios en el SGSI... INCOMPLETO | ||
| + | |||
| + | ==== 7. Soporte ==== | ||
| + | * 7.1 Recursos | ||
| + | * 7.2 Compentencia | ||
| + | * 7.3 Conocimiento | ||
| + | * 7.4 Comunicación | ||
| + | * 7.5 Información documentada | ||
| + | |||
| ===== ISO/IEC 27002 ===== | ===== ISO/IEC 27002 ===== | ||
| ===== Esquema Nacional de Seguridad ===== | ===== Esquema Nacional de Seguridad ===== | ||
master_cs/gsi/tm2.1758560019.txt.gz · Última modificación: 2025/09/22 16:53 por thejuanvisu
Herramientas de la página
