Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 383 vistas

    Presentar Plantillas

    Cargado por

    XxxMOvieDominicana Pc
    Este documento proporciona una introducción al Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Brevemente describe los requisitos clave de ISO 27001, así como otras normas relacionadas como ISO 27002, ISO 27003, ISO 27004 e ISO 27005 que proporcionan guías de implementación, métricas y gestión de riesgos respectivamente.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Presentar Plantillas

    Cargado por

    XxxMOvieDominicana Pc
    383 vistas21 páginas
    Este documento proporciona una introducción al Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Brevemente describe los requisitos clave de ISO 27001, así como otras normas relacionadas como ISO 27002, ISO 27003, ISO 27004 e ISO 27005 que proporcionan guías de implementación, métricas y gestión de riesgos respectivamente.

    Título original

    PRESENTAR PLANTILLAS.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento proporciona una introducción al Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Brevemente describe los requisitos clave de ISO 27001, así como otras normas relacionadas como ISO 27002, ISO 27003, ISO 27004 e ISO 27005 que proporcionan guías de implementación, métricas y gestión de riesgos respectivamente.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    383 vistas21 páginas

    Presentar Plantillas

    Cargado por

    XxxMOvieDominicana Pc
    Este documento proporciona una introducción al Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Brevemente describe los requisitos clave de ISO 27001, así como otras normas relacionadas como ISO 27002, ISO 27003, ISO 27004 e ISO 27005 que proporcionan guías de implementación, métricas y gestión de riesgos respectivamente.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 21

    Imagen o

    fotografía

    Estándar Internacional ISO / IEC 27001


    Plantillas para a implantación de SGSI – TEMPLATES –
    Sistema de Gestión de Seguridad - Requerimientos
    ISO 27000
    Vocabulario

    ISO 27001
    Requerimientos
    SGSI

    ISO 27003 ISO 27004 ISO 27005


    Guía de Métricas Gestión de
    Implementación Riesgos

    ISO 27002 ISO 27007 -


    Código de 27008
    Prácticas Guías de Auditoría
    Definición de Sistema de Gestión de
    Seguridad SGSI
     Un SGSI, es un enfoque sistemático para establecer,
    implementar, operar, supervisar, revisar, mantener y mejorar la
    seguridad de la información en las organizaciones, para
    alcanzar los objetivos del negocio.

     Está basado en la evaluación de riesgos

     Análisis de requerimientos para la protección de activos


    críticos de información y la aplicación apropiada de controles,
    para asegurar dichos activos.

     El SGSI consiste en políticas, procedimientos, guías,


    actividades y recursos asociados.
    Definición de Seguridad y Políticas de un SGSI
    Acciones para hacer frente a los riesgos y
    oportunidades
     Determinar los riesgos y las oportunidades a enfrentar.
     Establecer y mantener criterios de riesgos sobre la seguridad
    de la información (Evaluación de riesgo, Impactos, Aceptación
    de riesgo)
     Seleccionar información apropiada y opciones de tratamiento
    de riesgos de seguridad.
     Determinar todos los controles necesarios para implementar el
    tratamiento de riesgos de seguridad de la información.
     Formular un plan de tratamiento de riesgos de seguridad.

     Obtener la aprobación de los dueños de los riesgos sobre el


    plan de tratamiento de riesgos de seguridad de la información
    .
    Activo crítico de información: CTI
    Escenari
    o de
    Riesgo Amenaza Vulnerabilidad Impacto C I D
    Sistema débil de
    autenticación; Sistema es
    accesible vía web; no
    existe revisión de
    privilegios asociados al El robo de identidad de
    Hackeo por control de accesos; data un cliente o de un
    1 exempleados no encriptada empleado de la empresa X X

    Errores de ingreso Los campos del formulario


    de información por no tienen controles sobre La base de datos
    2 los usuarios el ingreso de información contiene datos corruptos X
    Usuarios no
    siguen
    procedimiento Falta de un proceso de Pérdida de información
    interno de copia de seguridad durante un incidente de
    3 backup automatizada seguridad X X
    Apéndice 1: Programa anual de auditoría interna
    Se redacta este programa anual para el período comprendido desde el [fecha] hasta el [fecha].
    Las auditorías internas en el marco de las normas ISO/IEC 27001 e ISO 22301/BS 25999-2 serán
    realizadas de la siguiente forma:

    Período de … … … … …
    la auditoría
    Apéndice: Cláusulas de seguridad para proveedores y socios

    Cuando se redacta un contrato con un proveedor o socio, es necesario definir cuáles de las
    siguientes cláusulas se incluirán en el contrato. (La terminología legal del acuerdo debe ser
    preparada por la persona responsable de asuntos legales):

    1. Información sobre el servicio prestado, detallar la información que se pondrá a disposición para este objetivo y
    cómo se clasificará.
    2. Si el proveedor tiene derecho a tomar subcontratistas; si puede hacerlo, debe obtener el consentimiento escrito
    de parte de la organización y un detalle de controles que deben cumplir los subcontratistas.
    3. Una definición de información clasificada y cómo ser regula el secreto comercial.
    4. La duración del acuerdo y la obligación de mantener de forma confidencial y clasificada la información y/o los
    secretos comerciales luego del vencimiento del contrato (al redactar este artículo, se debe tener en cuenta cómo
    se garantizará la continuidad del negocio en la organización).
    DECLARACIÓN DE APLICABILIDAD

    Código
    Versión:
    Fecha de la
    versión:
    Creado por:
    Aprobado por:
    Nivel de
    confidencialid
    ad:

    Historial de modificaciones
    Fecha Versión Creado por Descripción de la
    modificación
    10/01/201 0.1 Dejan Descripción básica del
    3 Ko documento
    sut
    ic
    Formulario: Informe de prueba y verificación
    La prueba y verificación se realizó de la siguiente manera:
     Plazo: desde el [fecha] hasta el [fecha].
     Persona responsable de la coordinación e implementación de la
    prueba y verificación: [cargo]
     Alcance de la prueba y verificación [mencionar a las unidades organizativas o actividades que se
    incluirán, como también los proveedores y/o socios].
     Método de prueba y verificación: …

    Apéndice: Lista de requisitos legales, normativos, contractuales y de otra


    índole.

    Requisit ... ... ... ...


    o
    Apéndice: Cláusulas de seguridad para proveedores y socios
    Cuando se redacta un contrato con un proveedor o socio, es
    necesario definir cuáles de las siguientes cláusulas se
    incluirán en el contrato. (La terminología legal del acuerdo
    debe ser preparada por la persona responsable de asuntos
    legales):
    5. Información sobre el servicio prestado, detallar la información que se pondrá a disposición para este objetivo y cómo se
    clasificará.
    6. Si el proveedor tiene derecho a tomar subcontratistas; si puede hacerlo, debe obtener el consentimiento escrito de parte de
    la organización y un detalle de controles que deben cumplir los subcontratistas.
    7. Una definición de información clasificada y cómo ser regula el secreto comercial.
    8. La duración del acuerdo y la obligación de mantener de forma confidencial y clasificada la información y/o los secretos comerciales luego
    del vencimiento del contrato (al redactar este artículo, se debe tener en cuenta cómo se garantizará la continuidad del negocio en la
    organización).
    Cuestionario sobre el análisis del impacto en el
    negocio
    Parte 1

    1. Información general sobre la actividad


    Nombre de
    Nombre de la la persona
    organización: responsable:
    Correo
    Nombre de la actividad: electrónico:
    Domicilio: Fecha:
    2. Descripción de la
    actividad
    Breve descripción de la Tareas clave y obligaciones legales
    actividad: y/o contractuales: Plazos de ejecución:

    3. Impacto general del incidente disruptivo (1 - consecuencia insignificante; 2 - consecuencia aceptable; 3 - consecuencia
    mayor; 4 - consecuencia catastrófica)
    Descripción (si fuera necesario) ... ... ... ... ...
    Pérdida de la reputación
    de la organización en el
    mercado:
    ...
    Declaración de confidencialidad

    Por medio de la presente, declaro que a toda la información recibida durante la ejecución de
    [nombre del contrato por el cual la persona tendrá acceso a información confidencial] del
    [fecha del contrato] (en adelante, "el Contrato") le daré un tratamiento confidencial…

    Historial de modificaciones
    Fecha Versió Cread Descripció
    n o n de la
    por modifica
    ción
    10/01/20 0.1 Dejan Descripción
    13 Ko básica
    suti del
    c documen
    to

    Tabla de contenido
    1. OBJETIVO, ALCANCE Y USUARIOS........................................................................................................... 3

    2. DOCUMENTOS DE REFERENCIA.............................................................................................................. 3

    3. APLICABILIDAD DE LOS CONTROLES....................................................................................................... 3

    4. ACEPTACIÓN DE LOS RIESGOS RESIDUALES........................................................................................... 19


    5. VALIDEZ Y GESTIÓN DE DOCUMENTOS................................................................................................. 19

    1. Objetivo, alcance y usuarios

    El objetivo del presente documento es definir qué controles son


    adecuados para implementar en [nombre de la organización],
    cuáles son los objetivos de esos controles y cómo se
    implementan. También tiene como objetivo aprobar riesgos
    residuales y aprobar formalmente la implementación de los
    controles mencionados.
    Este documento incluye todos los controles detallados en el
    Anexo A de la norma ISO 27001. Los controles se aplican a
    todo el alcance del Sistema de gestión de seguridad de la
    información (SGSI).
    Los usuarios de este documento son todos empleados de
    [nombre de la organización] que cumplen una función dentro
    del SGSI.

    2. Documentos de referencia

     Norma ISO/IEC 27001, capítulo 6.1.3 d)


     Política de Seguridad de la Información
     Metodología de evaluación y tratamiento de riesgos
     Informe de evaluación y tratamiento de riesgos

    Declaración de aceptación de los


    documentos del Sistema de gestión de seguridad de la información

    También podría gustarte