Seguridad de la Información: Implementación de Controles y Gestión de Riesgos

Enviado por Chuletator online y clasificado en Diseño e Ingeniería

Escrito el en español con un tamaño de 3,3 KB

Estructura de la Norma

La norma se organiza en capítulos, cada uno de los cuales abarca un conjunto de categorías principales de seguridad. Los once capítulos, junto con el número de categorías que incluyen, son los siguientes:

  • Política de Seguridad (1)
  • Organización de la Seguridad de la Información (2)
  • Gestión de Activos (2)
  • Seguridad de Recursos Humanos (3)
  • Seguridad Física y del Ambiente (2)
  • Gestión de Comunicaciones y Operaciones (10)
  • Control de Acceso (7)

Nota: El orden de los capítulos en esta norma no implica su importancia. Todas las categorías pueden ser relevantes según las circunstancias. Cada organización que aplique esta norma deberá identificar los capítulos aplicables, su importancia y su aplicación a los procesos individuales del negocio. Las listas en esta norma tampoco están en orden de prioridad, a menos que se especifique.

Categorías Principales de Seguridad

Cada categoría principal de seguridad contiene:

  • Una indicación del objetivo de control que debería alcanzarse.
  • Uno o más controles que se pueden aplicar para alcanzar el objetivo de control.

La descripción del control se estructura de la siguiente manera:

  • Control: Define la declaración del control específico para satisfacer el objetivo de control.
  • Guía de implementación: Proporciona información detallada para apoyar la implementación del control y alcanzar el objetivo de control. Algunas de estas orientaciones pueden no ser convenientes en todos los casos, por lo que pueden ser más apropiadas otras maneras de implementar el control.
  • Información adicional: Proporciona información adicional que puede necesitar ser considerada, por ejemplo, las consideraciones legales y las referencias a otras normas.

Antecedentes y Contexto

Esta norma está diseñada para que las organizaciones la utilicen como referencia en la selección de controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la Norma ISO/IEC 27001 o como un documento para las organizaciones que implementen controles de seguridad de la información comúnmente aceptados. También puede utilizarse en el desarrollo de lineamientos de gestión de seguridad de la información en industria y organización específica, tomando en consideración su(s) entorno(s) de riesgo específicos de seguridad de la información.

Selección y Desarrollo de Controles

  • Seleccionando controles: Los controles pueden ser elegidos de esta norma o de otro conjunto de controles, o pueden ser diseñados nuevos controles para cubrir adecuadamente necesidades específicas.
  • Desarrollando lineamientos propios: Esta norma puede ser considerada como un punto de partida para desarrollar lineamientos específicos de la organización.
  • Consideraciones del ciclo de vida: La información tiene un ciclo de vida natural, desde su creación y origen, pasando por el almacenamiento, procesamiento, utilización y transmisión, hasta su eventual destrucción o deterioro.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
seguridad de la información gestión de riesgos controles de seguridad ISO 27001