
	Portada \| Monotemáticos \| Secciones \| Desarrolladores \| Comunidad \| Servicios \| Servicios profesionales \| RSS

	DesarrolloWeb.com > Manuales > Análisis de ISO-27001:2005

Registrarse | Vuestras páginas | Foros del web | Lista de correo | Boletín de novedades

Generador METAs | Compras | Busca cursos

Desarrollo Freelance | Buscar proyectos | Buscar profesionales | Solicitar desarrollo

Términos y definiciones dentro de la ISO-27001

Continuamos con este pequeño manual sobre el estandar ISO-27001.

18/4/06 - La siguiente terminología aplica a esta norma:
Recurso (Asset): Cualquier cosa que tenga valor para la organización.

Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.

Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.

Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.

Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.

Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.

Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.

Nota:el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.

Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.

Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.

Aceptación de riesgo: Decisión de aceptar un riesgo.

Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.

Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.

Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.

ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial.

Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.

Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.

Nota:el término “control” en esta norma es empleado como sinónimo de “Medida o medición”.

Declaración de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organización del ISMS.

Nota:Estos controles están basados en los resultados y conclusiones de la valoración y los procesos de tratamiento de riesgo, los requerimientos y regulaciones legales, las obligaciones contractuales y los requerimientos de negocio para la seguridad de la información que defina la organización.

ISMS (Information Security Managemet System).

Requerimientos generales:

La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2.

Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:

Aprobar documentos y prioridades o clasificación de empleo.
Revisiones, actualizaciones y reaprobaciones de documentos.
Asegurar que los cambios y las revisiones de documentos sean identificados.
Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
Asegurar que los documentos permanezcan legibles y fácilmente identificables.
Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
Asegurar que los documentos de origen externo sean identificados.
Asegurar el control de la distribución de documentos.
Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito

Responsabilidades de administración:

La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:

Establecimiento de la política del ISMS
Asegurar el establecimiento de los objetivos y planes del ISMS.
Establecer roles y responsabilidades para la seguridad de la información.
Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.
Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS (5.2.1).
Decidir los criterios de aceptación de riesgos y los niveles del mismo.
Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a la administración para la revisión del ISMS (ver 7.)

Formación, preparación y competencia:

La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación).

Seguir navegando a partir aquí:

+ 1 manual relacionado
+ 1 categoria relacionada

Autoría, licencia y acciones sobre este artículo

Informe de Alejandro Corletti Estrada*

Atención: Copyright. Este artículo no se puede reproducir sin la autorización expresa del autor.

* Para consultas técnicas utilizar la lista de correo.

Versión imprimible del artículo
Enviar artículo por e-mail

Publicar un comentario del artículo

Manuales relacionados con este artículo

Dentro de Análisis de ISO-27001:2005

Siguiente: Breve resumen del estandar. Parte II

Anterior: Breve resumen del estandar. Parte I

< Indice de Análisis de ISO-27001:2005

Categorias relacionadas

A través de las categorías de nuestro directorio se pueden encontrar otro tipo de recursos relacionados con este artículo:

+ Entrar en Seguridad

Comentarios de los visitantes

Añadir un comentario del artículo
Aun no hemos recibido comentarios de este artículo.
Puedes ser el primero en enviar tu comentario.

Enlaces:

Maestrosdelweb

Ir arriba

Manuales relacionados
+	Análisis de ISO-27001:2005

Categorías
+	Seguridad

Tienda DesarrolloWeb

		DesarrolloWeb.com \| Copyright \| Anunciese \| Acerca de \| Datos legales \| Contacta \| Por GuiarteMultimedia

Alojamiento web