Please enable JavaScript.
Coggle requires JavaScript to display documents.
3.1. Estándares para la Ciberseguridad - Coggle Diagram
3.1. Estándares para la Ciberseguridad
ISO/IEC 27001
Requerimientos generales de la norma
La auditoría de primera parte es una auditoría de las prácticas propias de una organización que se llevan a cabo por esa organización.
Un código de prácticas o conjunto de directrices utilizan palabras como " debe " y " puede ", que permiten que organizaciones individuales elijan qué elementos de la norma implementan y cuáles no.
Como regla general, las organizaciones que implementen un SGSI basándose en la ISO/IEC 27001:2013
Monitoreo
Controles
Los controles son las contramedidas para las vulnerabilidades.
Riesgos residuales
No es posible ni práctico ofrecer una seguridad total contra cada uno de los riesgos, pero es posible proporcionar una seguridad eficaz contra la mayoría de los riesgos controlándolos hasta un nivel en el que el riesgo residual sea aceptable para la gerencia.
Objetivos de control
Los controles se seleccionan a la luz de un objetivo de control.
Planificar los incidentes de seguridad
Es importante que, al considerar los controles, los incidentes de seguridad probables que puede que haya que detectar se identifiquen, consideren y planifiquen.
Implementación
Implemente el plan de tratamiento del riesgo y los controles identificados en la declaración de aplicabilidad
Defina cómo medir y evaluar la eficacia de todos los controles
Implementar la formación y los programas de sensibilización (7.2 y 7.3), que se vinculan con el Control A.7.2.2 – sensibilización, educación y formación de la seguridad de la información.
Gestionar el SGSI (8.1). Todos los controles y procesos de interbloqueo deben seguir funcionando y las nuevas amenazas identificadas, evaluadas y, si es necesario, neutralizadas.
Implemente un procedimiento de respuesta y detección (10.1), que se vincule con la cláusula 16 del Anexo A,
Requerimientos y control de documentación
Una de las razones clave para diseñar e implementar un sistema de gestión es posibilitar que la organización vaya más allá de lo conocido, en cuanto al modelo de capacidad, como organización " ad hoc ".
A.5.1.1: políticas de seguridad de la
A.6.1.1: funciones y responsabilidades documentadas para la seguridad de recursos humanos;
A.8.1.3: uso aceptable de los activos;
A.9.1.1: política de control de acceso;
A.18.1.1: identificación de legislación aplicable.
Responsabilidad en el establecimiento de un SGSI
Un SGSI certificado por la ISO 27001estará sujeto a revisiones regulares de certificación durante la aceptación del certificado; estas revisiones se centrarán en cómo la organización y su gestión han impulsado el proceso de mejora continua.