Sesion 4 - ISOIEC 27001

ISO 27001 Documentación

ISO/IEC 27001 •

Tecnología de la información

•

Técnicas de seguridad

•

•

Sistemas de gestión de seguridad de información Requisitos

OBJETIVO

Referencias Generales •

•

Esta norma cubre todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro). Esta norma especifica los requisitos para establecer, implementar, ejecutar, supervisar, analizar críticamente, mantener y mejorar un sistema SGSI documentado dentro del contexto de los riesgos globales de la organización

Referencias Generales •

Esta norma especifica los requisitos para establecer, implementar, ejecutar, supervisar, analizar críticamente, mantener y mejorar un sistema SGSI documentado dentro del contexto de los riesgos globales de la organización

Referencias Generales •

Especifica requisitos para la implementación de controles de seguridad personalizados para las necesidades individuales de organizaciones con sus partes.

Referencias Generales •

Está proyectado para asegurar la selección de controles de seguridad adecuados y proporcionados para proteger los activos de información proporcionando confianza a las partes interesadas

Aplicación •

Los requisitos definidos en esta norma son genéricos y pretenden ser aplicados a todas las organizaciones, independientemente del tipo, tamaño y naturaleza

Aplicación •

La exclusión de cualquiera de los requisitos especificados en los artículos 4, 5, 6, 7 y 8 no es aceptable cuando una organización afirma el cumplimiento de esta norma

Aplicación •

Cualquier exclusión de un control que se considere necesaria para cumplir con los criterios de aceptación del riesgo debe ser  justificada y la evidencia de que los riesgos fueron aceptadas por los responsables deben darse siempre

Aplicación •

Cuando los controles son excluidos, los reclamos no son aceptables de conformidad con esta norma a menos que estas exclusiones no afecten a la capacidad de la organización, y/o responsabilidad para proporcionar seguridad de la información que cumpla con los requisitos de seguridad determinados por el análisis y evaluación de riesgos y requisitos legales y reglamentarios aplicables.

Aplicación •

Si una organización tiene un sistema de gestión de negocios en la operación del proceso (por ejemplo, en relación con la norma ISO 9001 o ISO 14001), es preferible en la mayoría de los casos para satisfacer los requisitos de esta Norma dentro de este sistema de gestión existente.

Referencia Normativa •

•

Los documentos citados a continuación son indispensables para la aplicación de esta norma. Para tener una referencia de fecha, se aplica sólo la edición citada. Para tener una referencia sin fecha, se aplica la última edición de la referencia (incluyendo enmiendas). ISO / IEC 17799:2005, la tecnología de la información - Técnicas de seguridad - Código de prácticas para gestión de seguridad de la información.

Términos y Definiciones •

Para los propósitos de esta Norma Internacional, los siguientes términos y definiciones están definidos como: 1.

2.

3.

Activos: Cualquier cosa que tenga valor para la organización [ISO / IEC 13335-1:2004] Disponibilidad: Propiedad de ser accesible y utilizable en la demanda por una entidad autorizada [ISO / IEC 13335-1:2004] Confidencialidad: Propiedad de que la información no está disponible o revelada a individuos, entidades o procesos no autorizados [ISO / IEC 13335-1:2004]

Términos y Definiciones 4.

5.

6.

Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades como la autenticidad, la responsabilidad, no rechazo y fiabilidad también pueden ser involucradas [ISO / IEC 17799:2005] Evento seguridad de la información: Una ocurrencia identificada de un sistema estatal, la red o servicio, indicando una posible violación de la política, controles de seguridad de la información, el fracaso, o una situación previamente desconocida que puede ser pertinente para la protección de información [ISO / IEC TR 18044:2004] Información sobre incidentes de seguridad: Un único o una serie de eventos de seguridad de la información no deseado o inesperado, que tienen una alta probabilidad de comprometer las operaciones comerciales y amenazar la seguridad de la información [ISO / IEC TR 18044:2004]

Términos y Definiciones 7.

8.

9.

10.

11.

Sistema de gestión de seguridad de la información: SGSI parte del sistema general de gestión, basado en un enfoque de negocios de riesgo, para establecer, implementar, de operación, seguimiento, revisión, mantenimiento y mejora de seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, la planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. Integridad: Propiedad de salvaguardar la exactitud e integridad de los activos [ISO / IEC 13335-1:2004] Riesgo residual: Riesgo que queda después de tratamiento de riesgos [Guía ISO / IEC 73:2005] Aceptación del riesgo: Decisión de aceptar un riesgo [Guía ISO / IEC 73:2005] Análisis de riesgos: El uso sistemático de las fuentes de información para identificar y estimar el riesgo [Guía ISO / IEC 73:2005]

Términos y Definiciones 12.

13.

14.

Análisis y evaluación de riesgos: Proceso completo de análisis y evaluación de riesgo [Guía ISO / IEC 73:2005] Evaluación de riesgo: Proceso de comparar el riesgo estimado con criterios de riesgo predefinidos para determinar la importancia del riesgo [Guía ISO / IEC 73:2005] Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos, Gestión de riesgo, en general incluye el análisis/evaluación de riesgos, el tratamiento del riesgo, la asunción de riesgos y comunicación de riesgos. [ABNT ISO/IEC Guía 73:2005]

Términos y Definiciones 12.

13.

14.

Análisis y evaluación de riesgos: Proceso completo de análisis y evaluación de riesgo [Guía ISO / IEC 73:2005] Tratamiento del riesgo: Proceso de selección y aplicación de medidas para modificar el riesgo [Guía ISO / IEC 73:2005] En esta norma el término "control" se utiliza como sinónimo de "medida". Declaración de aplicabilidad: Declaración documentada que describe los objetivos de control y controles que son pertinentes y aplicables a SGSI Organización. Los objetivos de control y los controles se basan en las conclusiones y resultados de los procesos análisis y evaluación del riesgo y tratamiento de los riesgos, los requisitos legales