Apuntes 17 de febrero de 2010
ISO 27001 – ISO 27002
- ISO 27001 Norma certificable. Requisitos SGSI
- ISO 27002 Controles
ISO/IEC 27000 Alineadas con las normas ISO 9000, no son normas técnicas, son el debe orientado al proceso no al producto.
ISO7/IEC 27001 Sistema de gestión de la seguridad de la Información (SGI) requisitos. Establece los requisitos para un sistema de seguridad de la información certificable.
- Basados en proceso (PHVA)
- Documentos obligatorios
- Define 39 objetivos y 133 controles (Anexo A).
- Se implementa de acuerdo al análisis de riesgos.
Ciclo Deming
PHVA
- P Planificar: Establecer el Sistema de Gestión de Seguridad de la Información
- H Hacer: Implementar y operar el Sistema de Gestión de Seguridad de la Información
- V Verificar: Hacer seguimiento y revisar el Sistema de Gestión de Seguridad de la Información
- A Actuar: Mantener y mejorar el Sistema de Gestión de Seguridad de la Información
Estructura de la ISO 27001
- Clausulas globales: aquellas que cubren todo el SGSI.
- Clausulas locales: Dan pautas puntuales SGSI, requisitos (generales, documentación, responsabilidad de la dirección, compromiso, gestión de recursos).
Manual de seguridad
Alcance:
- Cubre captación de recursos, cubrimiento de procesos
- Responsabilidad de la dirección
- Auditorías del SGSI
- Formación de auditores internos
Capítulos a tener en cuenta:
Capítulo 7:
- Revisión por parte de la gerencia
- Recibir indicadores métricos
Capítulo 8:
- Mejora del SGSI
- Acciones correctivas, acciones preventivas.
Documentos exigidos:
Documentos exigidos | |
|
Clausula 4.3.1 Alcance SGSI, políticas de seguridad, metodologías, análisis de riesgos, descripción, procesos, quien hace qué y cuando. |
|
Descripción, procesos, ¿quien hace que y cuando?Análisis de riesgos:
Identificación de amenazas Identificación de riesgos Identificación de controles |
|
Cómo se realizan las tareas y las actividades específicas. |
|
Proporcionan evidencia, información del SGI. |
ISO 27002 (Dominios I)
- Políticas de seguridad
- Aspectos organizacionales de la seguridad
- Gestión de activos
- Seguridad recursos: humanos, ingeniería social.
- Seguridad física y ambiental
- Gestión de operaciones y comunicaciones
- Control de acceso
- Adquisición, desarrollo y mantenimiento de sistemas de información
- Gestión de incidentes de seguridad
- Gestión de la continuidad del proceso
- Cumplimiento
Dominio
· Objetivode Control
o Control(es)
§ Características control(es)
Deja un comentario