S15.s1-Estructura Del SGSI

Gestión de Riesgos
Informáticos
Unidad de aprendizaje 4: SGSI y PSI
ESTRUCTURA DE UN SGSI
Mg. Sc. Ing. CIP Adolfo Cáceres Luque

LOGRO DE APRENDIZAJE DE LA
SESION
Al finalizar la sesión, el estudiante conoce la estructura de una Sistema de
Gestión de Seguridad de la Información.
TEMAS A TRATAR
 Estructura de un Sistema de Gestión de Seguridad de la

Información
DEFINICIÓN DE LA NORMA ISO
27001
 La ISO 27001 es una Norma Internacional que especifica los requisitos para
establecer, implementar, mantener y mejorar continuamente un Sistema
de Gestión de Seguridad de la Información (SGSI) en el contexto de la
organización.
 Esta norma también incluye los requisitos para la evaluación y tratamiento
de los riesgos de seguridad de información adaptados a las necesidades de
la organización.
Estructura de la ISO 27001: 2013
4. Contexto de
la organización
0.
INTRODUCCIÓN
0.1. G ENERAL
El sistema de de seguridad de la información preserva

gestión la
confidencialidad , integridad y disponibilidad de la información mediante la
aplicación de un proceso de gestión de riesgos y da confianza a las partes
interesadas que riesgos se gestionan adecuadamente .
0. INTRODUCCIÓN
0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE
GESTIÓN
Este enfoque común definido en el anexo SL será útil para aquellas

organizaciones que optan por operar un único sistema de gestión que cumple
con los requisitos de dos o más normas de sistemas de gestión.
1. ALCANCE
ISO 27001 es genérica y se pretende que sea aplicable a todas las

organizaciones, independientemente de su tipo, tamaño o naturaleza.
En esta sección se establece la obligatoriedad de cumplir con los requisitos
especificados en los capítulos 4 a 10 del documento, para poder obtener la
conformidad de cumplimiento y certificarse.
2. REFERENCIAS NORMATIVAS
El estándar ISO-27002 ya no es una referencia normativa para ISO-

27001:2013, aunque continúa considerándose necesario en el
desarrollo de la dec larac ión de aplic abilidad
El estándar ISO 27000:2013 se convierte en una referencia normativa

obligatoria y única, ya que contiene todos los nuevos términos y
definiciones.
3. TÉRMINOS Y
DEFINICIONES
Describe la terminología aplicable a este estándar.
Los términos y definiciones que se manejaban en 27001:2005 los trasladaron
y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos
y
vocabulario” (lo cual se llevará a cabo en todos los documentos que forman
parte de esta familia), con el objetivo de contar con una sola guía
de términos y definiciones que sea consistente.
4. CONTEXTO DE LA ORGANIZACIÓN
Hace hincapié en identificar los problemas externos e internos que rodean

a la organización
Se definen los requerimientos para definir el contexto del SGSI sin
importar el tipo de organiza c ión y su alc anc e.
Nuevo c onc epto de la partes interesa da s (stakeholders) c omo

un
elemento primordial para el alcance del SGSI.
Se alienan las partes interesadas con relación a la seguridad de la

informac ión y sus requisitos
5. LIDERAZGO
Ajusta la relación y responsabilidades de la Alta Dirección respecto al
SGSI, destacando de manera puntual cómo debe demostrar su
compromiso.
G ara ntizando que los
objetivos del SG SI y “La G ara ntizando la
polític a de seguridad de la disponibilidad de los recursos
informac ión”, anteriormente para la implementac ión del
definida c omo “Polític a del SG SI (económicos,
SG SI”, estén a lineados c on tecnológicos, etcétera).
los objetivos del negoc io.
G ara ntizando que los roles y

responsabilidades claves para
la seguridad de la
información se asignen y se
comuniquen
adecuadamente.
6. Planeación
Se enfoca en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos
para alcanzarlos.
El procesopara la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidadesy las amenazas.
Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y
disponibilidad de la información.
El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializa.
Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.
7. Soporte
Marca los requerimientos de • Recursos

soporte para el establecimiento, • Personal competente
implementación y mejora del • Conciencia y comunicación de las
SGSI, que incluye: partes interesadas
Se incluye una nueva definición “información documentada” que sustituye a

los términos “documentos” y “registros”; abarca el proceso de documentar,
controlar, mantener y conservar la documentación correspondiente al SGSI.
El proceso de revisión se enfoca en el contenido de los documentos y no en la
existencia de un determinado conjunto de estos.
8. Operación
Se asocia a la etapa Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las operaciones y requerimientos de
seguridad.
Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así
como el cumplimientocon el del estándar.
La organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información de manera periódicapor medio de un programapreviamenteelegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con
la confidencialidad, integridad y disponibilidad.
9. Evaluación de
desempeño
La base para identificar y medir la efectividad y desempeño del SGSI
continúan siendo las auditorías internas y las revisiones del SGSI.
se establece la
necesidad de definir
Se debe considerar quién y cuándo se
para estas atender no deben realizar estas
revisiones el estado conformidades evaluaciones así
de los planes de anteriores como quién debe
acción analizar la
información
recolectada
10. Mejora
El principal elemento del proceso de mejora son las no conformidades

identificadas.
Tiene que contabilizarse y compararse con las accione correctivas
Asegurarse de que no se repitan y que las acciones correctoras que

se realicen sean efectivas.
ANEXO A – Controles de Seguridad de la Información

S15.s1-Estructura Del SGSI

Cargado por

Copyright:

Formatos disponibles

S15.s1-Estructura Del SGSI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

S15.s1-Estructura Del SGSI

Cargado por

Copyright:

Formatos disponibles

Gestión de Riesgos

Mg. Sc. Ing. CIP Adolfo Cáceres Luque

 Estructura de un Sistema de Gestión de Seguridad de la

El sistema de de seguridad de la información preserva

Este enfoque común definido en el anexo SL será útil para aquellas

ISO 27001 es genérica y se pretende que sea aplicable a todas las

El estándar ISO-27002 ya no es una referencia normativa para ISO-

El estándar ISO 27000:2013 se convierte en una referencia normativa

Hace hincapié en identificar los problemas externos e internos que rodean

Nuevo c onc epto de la partes interesa da s (stakeholders) c omo

Se alienan las partes interesadas con relación a la seguridad de la

G ara ntizando que los roles y

Marca los requerimientos de • Recursos

Se incluye una nueva definición “información documentada” que sustituye a

El principal elemento del proceso de mejora son las no conformidades

Tiene que contabilizarse y compararse con las accione correctivas

Asegurarse de que no se repitan y que las acciones correctoras que

También podría gustarte