Escolar Documentos
Profissional Documentos
Cultura Documentos
2
3
4
Introduccin
0.1
Generalidades
0.2
Enfoque basado en procesos
0.3
Compatibilidad con otros sistemas de gestion
Objeto
1.1
Generalidades
1.2
Aplicacin
Referencias normativas
Trminos y definiciones
SGSI
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3
Requisitos generales
Establecimiento y gestion del SGSI
Establecimiento del SGSI
Implementacion y operacin del SGSI
Seguimiento y revision del SGSI
Mantenimiento y mejora del SGSI
Requerimientos de documentacin
Generalidades
Control de documentos
Control de registros
Responsabilidad de la direccion
5.1
Compromiso de la direccion
5.2
Gestin de recursos
5.2.1 Provision de recursos
5.2.2 Formacion, toma de conciencia y competencia
ISO/IEC 27001:2013
0
Introduccin
0.1
Generalidades
0.2
Compatibilidad con otros sistemas de gestion
2
3
Referencias normativas
Trminos y definiciones
Contexto de la Organizacin
4.1
Conocimiento de la organizacin y de su contexto
4.2
Comprension de las necesidades y espectativas de las partes interesadas
4.3
Determinacion del alcance del SGSI
4.4
Sistema de Gestion de Seguridad de la Informacion
Liderazgo
5.1
Liderazgo y compromiso
5.2
Politica
5.3
Roles, responsabilidades y autoridades en la organizacin
Planificacion
6.1
Acciones para tratar riesgos y oportunidades
6.1.1
Valoracion de riesgos de la seguridad de la informacion
6.1.3
Tratamiento de riesgos de la seguridad de la informacion
6.2
Objetivos de seguridad de la informacion y planes para lograrlos
Soporte
7.1
Recursos
7.2
Competencia
7.3
Toma de conciencia
7.4
Comunicacin
7.5
Informacion documentada
7.5.1
Generalidades
7.5.2
7.5.3
Creacion y actualizacion
Control de la informacion documentada
Operacin
8.1
Planificacion y control operacional
8.2
Valoracion de riesgos de la seguridad de la informacion
8.3
Tratamiento de riesgos de la seguridad de la informacion
10
Mejora
10.1
No conformidades y acciones correctivas
10.2
Mejora continua
tes interesadas
Dominio - Control
#Ctrls
2
A5
Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.
A.5.1.1
A.5.1.2
A6
Se dispone de una poltica de SI aprobada por la direccin, publicada y comunicada a todos los empleados y
Poltica de seguridad de partes externas pertinentes.
la informacin
La poltica de seguridad de informacin se revisa a intervalos planificados, y si ocurren cambios significativos se
asegura su conveniencia, adecuacin y eficacia continua.
A.6.1.2
Organizacin interna
A.6.1.8
A.6.2.1
A.6.2.2
Entidades externas
A.6.2.3
A7
A.7.1.1
A.7.1.2
A.7.1.3
A.7.2.1
A.7.2.2
A8
A9
A10
A11
A12
A13
En las actividades de SI participan representantes de todas las UU.OO. Tienen roles y funciones.
Los roles y responsabilidades en SI estn bien definidos.
Est establecido el proceso de autorizacin para nuevos activos de informacin (AI).
Estn definidos acuerdos de confidencialidad y se revisa con regularidad.
Se mantiene los contactos apropiados con las autoridades pertinentes.
Se mantiene los contactos apropiados con entidades especializadas en SI.
1
1
1
1
1
1
1
1
A15
1
1
1
1
1
Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal
uso de los activos de informacin.
Durante el empleo
Terminacin o cambio
del empleo
Se tiene documentado (de acuerdo a la poltica) los roles y responsabilidadesde de SI, de todo el personal.
Se verifica antecedentes de todo candidato a empleado o contratista.
Se firman contratos donde se incluye las responsabilidades de SI.
Se procura que todos los empleados apliquen la SI segn la poltica.
Se sensibiliza, capacita y educa en SI pertinente a su funcin de trabajo.
Se tiene establecido un procesos disciplinario ante el incumplimiento de SI.
Estn definidas las responsabilidades para el trmino o cambio de empleo.
Se procura la entrega de activos al tmino de contrato.
Se retira los derechos de acceso al trmino del contrato.
1
1
1
1
1
1
1
1
1
13
Prevenir el acceso fsico no autorizado, dao e interferencia en las instalaciones y activos de informacin.
32
25
16
Procurar que la seguridad sea una parte integral de los sitemas de informacin.
Asegurar que los eventos y debilidades de seguridad de informacin sean comunicados de manera tal que, permita una accin correctiva oportuna.
A.8.1.1
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.2
A.8.3.3
1
11
A.6.1.1
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos, de los efectos de fallas significativas o desastres, y
asegurar su reanudacin oportuna.
Cumplimiento regulatorio
10
Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.
133
Dominio - Control
Calificacin
No Aplica
Descripcin
No aplica.
Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a
tratar. No se aplican controles.
Inexistente
20
Inicial
Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay
procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente
reactiva.
40
Repetible
Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que
diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre
los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso
hay probabilidad de errores.
60
Definido
Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones.
80
Gestionado
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas de accin donde los procesos no estn funcionando eficientemente.
100
Optimizado
Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores
prcticas, basndose en los resultados de una mejora continua.
#Ctrls
%
N/A
Descripcin
No aplica.
Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un
problema a tratar. No se aplican controles.
Inexistente
Inicial
20
Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo.
No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es
principalmente reactiva.
Repetible
40
Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en
que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin
formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de
cada persona, por eso hay probabilidad de errores.
Definido
60
Gestionado
80
Optimizado
100
Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores
prcticas, basndose en los resultados de una mejora continua.
ISO/IEC 27001:2005
0
Introduccin
0.1
Generalidades
0.2
Enfoque basado en procesos
0.3
Compatibilidad con otros sistemas de gestion
Objeto
1.1
Generalidades
1.2
Aplicacin
Referencias normativas
Trminos y definiciones
2
3
4
SGSI
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3
Requisitos generales
Establecimiento y gestion del SGSI
Establecimiento del SGSI
Implementacion y operacin del SGSI
Seguimiento y revision del SGSI
Mantenimiento y mejora del SGSI
Requerimientos de documentacin
Generalidades
Control de documentos
Control de registros
Responsabilidad de la direccion
5.1
Compromiso de la direccion
5.2
Gestin de recursos
5.2.1 Provision de recursos
5.2.2 Formacion, toma de conciencia y competencia
ISO 22301:2012
0
Introduccin
0.1
Generalidades
0.2
El Modelo Planear-Hacer-Verificar-Actuar (PHVA)
0.3
Componentes del PHVA en esta Norma
Alcance
2
3
Referencias normativas
Trminos y definiciones
Contexto de la Organizacin
4.1
Conocimiento de la organizacin y de su contexto
4.2
Comprension de las necesidades y espectativas de las partes interesadas
4.3
Determinacion del alcance del Sistema de Gestion
4.4
Sistema de Gestion de la Continuidad del Negocio
Liderazgo
5.1
Generalidades
5.2
Compromiso de la Alta Direccion
5.3
Politica
5.4
Roles, Responsabilidades y Autoridades
Planificacion
6.1
Acciones para direccionar riesgos y oportunidades
6.2
Objetivos de Continuidad del Negocio y planes para alcanzarlos
Recursos
7.1
Generalidades
7.2
Competencia
7.3
Toma de conciencia
7.4
Comunicacin
7.5
Informacion documentada
7.5.1
7.5.2
7.5.3
Generalidades
Creacion y actualizacion
Control de la informacion documentada
Operacin
8.1
Planificacion y control operacional
8.2
Analisis de Impacto al Negocio y Valoracion del Riesgo
8.2.1
Generalidades
8.2.2
Analisis del Impacto al Negocio
8.2.3
Valoracion del Riesgo
8.3
Estrategia de Continuidad del Negocio
8.3.1
Determinacion y Seleccin
8.3.2
Establecimiento de las necesidades de recursos
8.3.3
Proteccion y Mitigacion
8.4
Establecer e Implementar Procedimientos de Continuidad de Negocio
8.4.1
Generalidades
8.4.2
Estructura de respuesta ante incidentes
8.4.3
Advertencia y comunicacin
8.4.4
Planes de Continuidad de Negocio
8.4.5
Recuperacion
8.5
Ejercicios y Pruebas
Evaluacion de Desempeo
9.1
Seguimiento, medicion, analisis y evaluacion
9.1.1
Generalidades
9.1.2
Evaluacion de los procedimientos de continuidad de negocio
9.2
Auditoria Interna
9.3
Revision por la Direccion
10
Mejora
10.1
No conformidad y accion correctiva
10.2
Mejora continua
tes interesadas
de Negocio