ISO 27001 – ISO 27002

19 02 2010

Apuntes 17 de febrero de 2010

ISO 27001 – ISO 27002

  • ISO 27001 Norma certificable. Requisitos SGSI
  • ISO 27002 Controles

ISO/IEC 27000 Alineadas con las normas ISO 9000, no son normas técnicas, son el debe orientado al proceso no al producto.

ISO7/IEC 27001 Sistema de gestión de la seguridad de la Información (SGI) requisitos. Establece los requisitos para un sistema de seguridad de la información certificable.

  • Basados en proceso (PHVA)
  • Documentos obligatorios
  • Define 39 objetivos y 133 controles (Anexo A).
  • Se implementa de acuerdo al análisis de riesgos.

Ciclo Deming

PHVA

  • P Planificar: Establecer el Sistema de Gestión de Seguridad de la Información
  • H Hacer: Implementar y operar el Sistema de Gestión de Seguridad de la Información
  • V Verificar: Hacer seguimiento y revisar el Sistema de Gestión de Seguridad de la Información
  • A Actuar: Mantener y mejorar el Sistema de Gestión de Seguridad de la Información

Estructura de la ISO 27001

  • Clausulas globales: aquellas que cubren todo el SGSI.
  • Clausulas locales: Dan pautas puntuales SGSI, requisitos (generales, documentación, responsabilidad de la dirección, compromiso, gestión de recursos).

Manual de seguridad

Alcance:

  • Cubre captación de recursos, cubrimiento de procesos
  • Responsabilidad de la dirección
  • Auditorías del SGSI
  • Formación de auditores internos

Capítulos a tener en cuenta:

Capítulo 7:

  • Revisión por parte de la gerencia
  • Recibir indicadores métricos

Capítulo 8:

  • Mejora del SGSI
  • Acciones correctivas, acciones preventivas.

Documentos exigidos:

Documentos exigidos
  1. Manual de seguridad
 Clausula 4.3.1 Alcance SGSI, políticas de seguridad, metodologías, análisis de riesgos, descripción, procesos, quien hace qué y cuando.
  1. Procedimientos
 Descripción, procesos, ¿quien hace que y cuando?Análisis de riesgos:

Identificación de amenazas

Identificación de riesgos

Identificación de controles
  1. Instrucciones de trabajo
 Cómo se realizan las tareas y las actividades específicas.
  1. Documentos varios
 Proporcionan evidencia, información del SGI.

ISO 27002 (Dominios I)

  • Políticas de seguridad
  • Aspectos organizacionales de la seguridad
  • Gestión de activos
  • Seguridad recursos: humanos, ingeniería social.
  • Seguridad física y ambiental
  • Gestión de operaciones y comunicaciones
  • Control de acceso
  • Adquisición, desarrollo y mantenimiento de sistemas de información
  • Gestión de incidentes de seguridad
  • Gestión de la continuidad del proceso
  • Cumplimiento

Dominio

· Objetivode Control

o Control(es)

§ Características control(es)

« »


Acciones

Information

  • Fecha : 19 febrero, 2010
  • Categorías : Sin categoría

Deja un comentario