ISO 27000: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Get Started. It's Free
or sign up with your email address
ISO 27000: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN by Mind Map: ISO 27000: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

1. Conjunto de datos organizados en poder de una organizados en poder de una organización que posean valor para la misma, independientemente de la forma que se guarde o transmita, ( escrita, imágenes, oral, impresa en papel, almacenada electronicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones etc) de su origen o de la fecha de elaboración.

2. Este sistema ofrece mejores practicas y procedimientos que siendo aplicados correctamente en el ámbito empresarial, proporcionan una mejora continua y apropiada para evaluar los riesgos a los que nos enfrentamos diariamente, establecer controles para una mejor protección y defender así nuestra activo mas valioso dentro de la organización, la información.

3. Contiene

3.1. Un conjunto de buenas practicas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

4. Qué es:

5. Base de la Seguridad de la Información:

5.1. Confidencialidad.

5.1.1. La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

5.2. Integridad

5.2.1. Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

5.3. Disponibilidad

5.3.1. Acceso y utilizacion de la información y los sistemas de tratamietno de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

6. Utilidad

6.1. Se basa en

6.1.1. Analizar y gestionar los riesgos que se puedan presentar en una entidad basados en los procesos misionales, y activos de información con los que cuenta una organización, de forma que se garantice un mayor control en cuanto a la vulnerabilidad que se puedan presentar, evitando la materialización de amenazas que afecten directa o indirectamente el funcionamiento diario de la organización.

6.2. Objetivo

7. Incluye

7.1. Manual de seguridad

7.1.1. Documento que inspira y dirige toso el sistema, el que exponde y determina las intenciones, alcance, objetivos, responsabilidades, politicas y directrices principales, etc. del SGSI.

7.2. Procedimientos

7.2.1. Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

7.3. Instrucciones Cheklists Formularios

7.3.1. Documentos que describen como se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

7.4. Registros

7.4.1. Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI, están asociados a documentos de los otro tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.

8. Implementación

8.1. Para establecer y gestionar un SGSI con base a ISO 27001, se utiliza el ciclo continuo PDCA.

8.1.1. Plan - Planificar - Establecer el SGSI

8.1.1.1. Planificar

8.1.1.2. Identificar y analizar.

8.1.1.3. Dirección

8.1.1.4. Mitigar Riesgo.

8.1.1.5. Transferir Riesgo

8.1.1.5.1. Evitar Riesgo

8.1.2. Aceptar Riesgo.

8.1.2.1. Definir un plan de tratamiento de riesgo que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de información.

8.1.3. Do - Hacer - Implementar y utilizar el SGSI

8.1.3.1. Implantar el plan de tratamiento de riesgos, con el din de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.

8.1.3.1.1. Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.

8.1.3.2. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.

8.1.3.2.1. Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.

8.1.3.3. Gestionar las operaciones del SGSI

8.1.3.4. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.

8.1.3.5. Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.

8.1.4. Check - Verificar - Monitorizar y revisar el SGSI.

8.1.4.1. Ejecutar procedimientos de motorización y revisión.

8.1.4.2. Revisar regularmente la efectividad del SGSI.

8.1.4.3. Medir la efectividad de los controles.

8.1.4.4. Realizar periodicamente auditorias internas del SGSI en intervalos planificados.

8.1.4.5. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables.

8.1.4.6. Revisar el SGSI por parte de la dirección.

8.1.4.7. Actualizar los planes de seguridad.

8.1.4.8. Registrar acciones y eventos.

8.1.5. Act - Actuar - Mantener y mejorar el SGSI.

8.1.5.1. Implantar en el SGSI las mejoras identificadas.

8.1.5.2. Realizar las acciones preventivas y correctivas adecuadas y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

8.1.5.3. Comunicar las acciones y mejoras a toso las partes interesadas con el nivel de detelle adecuado y acordar, si es pertinente, la forma de proceder.

8.1.5.4. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.