Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Iso 27005

    Enviado por

    HernanGQ
    181 visualizações3 páginas
    Descripción breve de la ISO27005

    Título original

    ISO 27005

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Descripción breve de la ISO27005

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    181 visualizações3 páginas

    Iso 27005

    Enviado por

    HernanGQ
    Descripción breve de la ISO27005

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    ISO 27005

    Estructura de esta norma


    Contiene 12 Clausulas y 6 anexos que apoyan el desarrollo de cada una de las clausulas para la
    implementacin de esta norma.

    Objeto y Campo de Aplicacin.: Esta norma proporciona directrices para la gestin del
    riesgo en la seguridad de la informacin en una organizacin y adems dar soporte a la
    norma ISO27001 la cual trata del diseo e implementacin monitoreo y el mantenimiento
    de un sistema de gestin de seguridad de la informacin.
    Referencia normativa.: son la norma iso27001 y la norma iso27002 es necesario estudiar las
    3 normas para un correcto entendimiento de todo el proceso en lo que se refiere a un
    sistema de gestin de seguridad de la informacin.
    Trminos y Definiciones.: Observamos un listado de todos los trminos y sus definiciones
    que son utilizados para el correcto entendimiento de esta norma adems estos trminos son
    utilizados en la ISO27001 y 27002.
    Estructura.: La estructura de esta norma contiene la descripcin de todos los procesos para
    la gestin del riesgo en la seguridad de la informacin y cada una de las actividades para
    cumplir con estos procesos es necesario establecer un enfoque sistmico para as saber que
    estas actividades se estructuran de la siguiente manera con: ENTRADAS conjunto de
    acciones y una SALIDA, cada una las actividades que apoyan los procesos deben estar
    estructurados en forma sistmica.
    Informacin General.: esta norma nos recalca que es necesario establecer un enfoque
    sistmico para la gestin del riesgo es ah donde vemos que tenemos cuando establecemos
    una correcta gestin del riesgo como por ejemplo logramos identificar los riesgos, valorar los
    riesgos en trminos de consecuencias y probabilidades de ocurrencia, priorizar el
    tratamiento de los riesgos participacin de los interesados en la gestin y mantenerlos
    informados y adems educar a todos los dems directores y al personal involucrado en el
    proceso de gestin del riesgo.
    Visin General.: El proceso de gestin del riesgo en la seguridad de la informacin se la
    puede resumir con el siguiente grfico.

    Establecimiento del Contexto.: Definimos alcances y caractersticas del negocio,


    establecemos criterios bsicos para la gestin del riesgo definir una poltica adems
    establecer un proceso o un enfoque para la gestin del riesgo. Debemos tener en cuenta
    que aspectos legales y reglamentarios estamos sometidos como son nuestras
    operaciones que tecnologa disponemos con que finanzas disponemos y que factores
    sociales y humanitarios nos influyen.
    Identificacin del riesgo.: El propsito de la identificacin del riesgo es determinar qu
    podra suceder que cause una prdida potencial, y llegar a comprender el cmo, dnde y
    por qu podra ocurrir esta prdida.
    Estimacin del riesgo.: El anlisis del riesgo se puede realizar con diferentes grados
    de detalle dependiendo de la criticidad de los activos, la amplitud de las vulnerabilidades
    conocidas y los incidentes anteriores que implicaron a la organizacin. Una metodologa
    de estimacin puede ser cualitativa o cuantitativa, o una combinacin de ellas,
    dependiendo de las circunstancias
    Evaluacin del Riesgo.: Entrada: una lista de los riesgos con niveles de valor asignado
    y criterios para la evaluacin del riesgo. Accin: se deberan comparar los niveles de
    riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin (se
    relaciona con ISO/IEC 27001.
    Tratamiento del riesgo.: Debemos establecer unos controles para reducir, retener, evitar
    o trasferir los riesgos como ya tenemos un plan de tratamiento definido es en aquel que
    debemos apoyar y sustentar debemos tener en cuenta que cuando implementamos un plan
    para el tratamiento del riesgo se presentaran algunas restricciones cuan vamos a seleccionar
    algunos controles como por ejemplo restricciones de tiempo, financieras tcnicas operativas
    legales entre otras.

    Aceptacin del Riesgo.: es en este punto donde la organizacin tiene conocimiento


    riesgo y le da una valoracin y le da un tratamiento de acuerdo a ese tratamiento los
    riesgos pueden resultar riesgos residuales los cuales tambin hay que hacerles un
    procedimiento de estimacin y realizar un tratamiento adecuado
    Comunicacin del riesgo.: La comunicacin del riesgo se debe hacer durante todo el
    proceso y debe ser bidireccional todos los integrantes de la organizacin deben conocer
    los riesgos y estar al tanto de lo que est sucediendo en el proceso que se est llevando
    adems se debe hacer un proceso de seguimiento y monitoreo una revisin continua de
    todo el proceso de gestin del riesgo.

    Você também pode gostar