Kategóriák: Minden - política - registros - riesgos - alcance

a Yajaira Olan Perez 4 éve

584

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) se basa en un conjunto de documentos necesarios para asegurar la protección de los datos dentro de una organización. Entre estos se encuentra el enfoque de evaluación de riesgos, que describe la metodología y los criterios para aceptar o rechazar riesgos.

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION.

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION.

What is your business proposal about?

Give it a name. Type it in.

4- ¿Cómo se implementa un SGSI?

Se utiliza un ciclo continuo PDCA el cual es un ciclo de vida continuo
Act: Mantener y mejorar el SGSI

La organización deberá regularmente: Mejoras identificadas Acciones preventivas y correctivas Comunicar las acciones y mejoras Alcanzar los objetivos previstos

Check: Monitorizar y revisar el SGSI.

La organización deberá: Monitorización y revisión Efectividad de los controles Efectividad del SGSI Evaluaciones de riesgo Auditoras internas Revisar el SGSI por parte de la dirección Actualizar los planes de seguridad Registrar acciones y eventos

Do: Implementar y utilizar el SGSI.

Plan de tratamiento de riesgos Implantar el plan de tratamiento de riesgo Implementar los controles Definir sistemas de métricas Programas de formación y concienciación Gestionar las operaciones del SGSI Gestionar los recursos Detección y respuesta

Plan: Establecer el SGSI

Alcances Políticas de seguridad Metodologías de evaluación del riesgo Identificación de los riesgos Analizar y evaluar los riesgos Objetivos de control y los controles del Anexo A de ISO 27001 Aprobar riesgos residuales, implantación y uso del SGSI Declaración de aplicabilidad

Subtopic

5- ¿Qué tarea tiene la Gerencia en un SGSI?

Tareas fundamentales del SGSI que ISO 27001 asigna a la dirección.

What other options could solve the problem? Add an alternative.

Revisión del SGSI: La dirección de la organización debe revisar que el SGSI continúe siendo adecuado y eficaz.

Related information about the options that have been identified might be needed.

Add resource(s)

Formación y concienciación. Son elementos básicos para el éxito del SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asigne responsabilidades definidas en el SGSI este suficientemente capacitado.

Summarize your alternative points.

Add a conclusion

Asignación de recursos: para el correcto desarrollo de toda las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos.

Disadvantages must be accurately stated from your client's point of view.

Add a disadvantage

Compromiso de la Dirección: Debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI

Advantages must be accurately stated from your client's point of view.

Add an advantage

3- ¿Qué incluye un SGSI?

Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina la acciones de gestión necesarias para:
Identificación de documentos retenidos.
Prevenir documentos obsoletos.
Distribución de documentos controlada.
Documentos procedentes del exterior.
Transmitidos, almacenados y distribuidos acorde con los procedimientos.
Legibles y fácilmente identificables.
Documentos vigentes disponibles.
Garantizar los cambios y el estado actual de la revisión.
Revisar y actualizar documentos.
Aprobar documentos.
ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos:
Declaración de aplicabilidad: Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgo, justificando inclusiones y exclusiones.
Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.
Procedimientos documentados: Todo los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.
Plan de tratamiento de riesgo: Documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información.
Informe de evaluación de riesgo: Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.
Enfoque de evaluación de riesgos: Descripción de la metodología a emplear, desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
Procedimientos y mecanismos de control que soportan al SGSI: Los que regulan el propio funcionamiento del SGSI.
Política y objetivos de seguridad: Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y limites que existen entre el alcance y aquellas que no
Según ISO 9001, se muestra gráficamente la documentación del sistema como una pirámide de cuatros niveles
Nivel 4

Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estan asociados a documentos de los otros tres niveles como output que muestra que se ha cumplido lo indicado en los mismos.

Nivel 3

evidence

Instrucciones, checklists y formularios: Documentos que describen como se realizan las tareas y las actividades especificas relacionadas con la seguridad de la información.

Nivel 2

Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planeación, operación y control de los procesos de seguridad de la información.

Nivel 1

Identify a problem that requires action to be taken, which your solution will address. Add a problem.

Manual de Seguridad: Es el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcances, objetivos, responsabilidades, politicas y directrices principales el SGSI.

Add any supporting information or evidence of changes.

2- ¿Para que sirve?

Describe the current position that your client is in.

This creates some common ground, which is a good platform for discussing your solution.

Un SGSI contempla procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgo y una medición eficaz de los mismos, e igual manera un SGSI ayuda a establecer políticas y procedimientos en relación a los objetivos de negocios de la organización.

1- ¿Qué es un SGSI?

Summarize your proposal at the beginning of the document. Add a sum-up.

La seguridad de la información, según ISO 207001 consiste en la preservación de tres términos que constituyen la base de la seguridad de la información.
Disponibilidad: Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieren.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Es un proceso sistemático, documentado y conocido por toda la organización.