Ensayo Iso 27001

ENSAYO NTC ISO 27001
JIMMY RAFAEL GUEVARA TRUJILLO
TUTOR: CRISTHIAN CAMILO GARCIA ORTIZ
CENTRO EDUCACION MILITAR

ESCUELA INTELIGENCIA Y CONTRAINTELIGENCIA
DIRECCIÓN DE PROTECCIÓN DE DATOS
ESCUELA DE COMUNICACIONES
BOGOTÁ D.C, MAYO DE 2020
ENSAYO NTC ISO 27001
ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.
La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013.
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación,
operación, seguimiento, revisión, mantenimiento y mejora de un Sistema de Gestión de la
Seguridad de la Información (SGSI).1
La norma ISO 27001 cubre a todo tipo de organizaciones (empresas comerciales, entidades
gubernamentales, agencias, organizaciones sin ánimos de lucro) e independiente de su tamaño
(pequeño, mediano o grande).
Específica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar,
mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del
negocio de la organización.
La mayoría de las organizaciones tienen una serie de información de los controles de seguridad.
Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), los controles
tienden a ser un poco desorganizados y desarticulados. Se resaltan en la ISO / IEC 27001 los
siguientes:
 Sistemáticamente examinar los riesgos de seguridad de información de la organización,

teniendo en cuenta las amenazas, vulnerabilidades e impactos.
 Diseñar e implementar un conjunto coherente y exhaustivo de los controles de seguridad de

la información y / u otras formas de tratamiento de riesgos (como la cobertura de riesgos o la
transferencia del riesgo) para hacer frente a esos riesgos que se consideran inaceptables.
 Adoptar un proceso de gestión global para asegurar que los controles de seguridad de la
información continúan cumpliendo con las necesidades de seguridad de la información de la
organización de manera permanente.
Los controles de seguridad técnicos, como antivirus y firewalls normalmente no se auditan en la

norma ISO / IEC 27001 auditorías de certificación.
Un SGSI puede ser certificado conforme a la norma ISO / IEC 27001 por un número de
registradores acreditados de todo el mundo.
Cómo funciona la ISO 27001
El eje central es proteger la confidencialidad, integridad y disponibilidad de la información en una

empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la
información (evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que
estos problemas se produzcan (mitigación o tratamiento del riesgo). Por lo tanto, la filosofía
1
Los sistemas de gestión de seguridad de la información (SGSI) son instrumentos que facultan a las organizaciones el control y la
organización de forma ordenada de todos los procesos requeridos para el desarrollo eficaz de las actividades llevadas a cabo por la
organización, en relación con la seguridad de la información, el impacto ambiental y la calidad.
principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los
riesgos y luego tratarlos sistemáticamente.
PHVA (Planear, Hacer, Verificar, Actuar)
Esta norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que se

aplica para estructurar todos los procesos del SGSI.
La adopción del modelo PHVA también refleja los principios establecidos en las Directrices que
controlan la seguridad de sistemas y redes de información. Esta norma brinda un modelo robusto
para implementar los principios en aquellas directrices que controlan la evaluación de riesgos,
diseño e implementación de la seguridad, gestión y reevaluación de la seguridad.
Cómo implementar ISO 27001
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la dirección

2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas

Ensayo Iso 27001

Cargado por

Copyright:

Formatos disponibles

Ensayo Iso 27001

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ensayo Iso 27001

Cargado por

Copyright:

Formatos disponibles

ENSAYO NTC ISO 27001

JIMMY RAFAEL GUEVARA TRUJILLO

TUTOR: CRISTHIAN CAMILO GARCIA ORTIZ

CENTRO EDUCACION MILITAR

ISO 27001 es una norma internacional emitida por la Organización Internacional de

 Sistemáticamente examinar los riesgos de seguridad de información de la organización,

 Diseñar e implementar un conjunto coherente y exhaustivo de los controles de seguridad de

Los controles de seguridad técnicos, como antivirus y firewalls normalmente no se auditan en la

Cómo funciona la ISO 27001

El eje central es proteger la confidencialidad, integridad y disponibilidad de la información en una

PHVA (Planear, Hacer, Verificar, Actuar)

Esta norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que se

Cómo implementar ISO 27001

1) Obtener el apoyo de la dirección

También podría gustarte