Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27005 Gestión del riesgo dela Seguridad de la información (Estructura)
ISO 27005 Gestión del riesgo dela Seguridad de la información
Estructura
6 Anexos
Alcance y limitaciones
Identificacion, evaluacion de activos y valorización de impactos
Ejemplos de amenazas criticas
Vulnerabilidades y metodos para valorizarlas
Aproximaciones a valorización RSI
Obligaciones para la reducción de riesgos
12 clausulas
Objeto y campo de aplicación
directrices para la gestión del riesgo para la seguridad de información en una organización
soporte a la iso 27001
Referencias Normativas
ISO/IEC 27001
ISO/IEC 27002
Términos y definiciones
Estructura
descripción de procesos para la gestión del riesgo en la seguridad de la información.
Toda actividad tiene Entrada, acciones y salidas.
Información general
Visión general
Establecimiento del contexto
Definición de alcance
Se establecen características del negocio
Se establecen criterios básicos para la gestión del riesgo
Definir una politica
Establecer un proceso para la gestion del riesgo
Factores relevantes de recursos y culturales
Aspectos legales
Valoración del riesgo
Identificación del riesgo
identificación de recursos de información
identificación de amenazas y responsabilidades
identificar controles actuales
Estimación del riesgo
establecer valor de los recursos de información
definir impacto y probabilidad
priorizar y clasificación del riesgo
Tratamiento del riesgo
reducir
llevarlo a un nivel aceptable
Transferir
se terceriza la gestión del riesgo
Aceptar
se asume el riesgo por parte de la organización
Mitigar
se evita que el riesgo se materialice
Aceptación del riesgo
El riesgo se encuentra identificado y se tiene definida su afectación así como de que forma se puede tratar en caso de que se materialice
Comunicación de los riesgos del SI
Se debe mantener comunicados a los interesados del proceso de gestión del riesgo
Se deben recibir retroalimentación de los interesados acerca de nueva información en los riesgos identificados o nuevos riesgos
Monitoreo y revisión
se debe hacer durante todo el proceso de gestión del riesgo