Estudio norma iso 27001.

Enviado por monicayanetha • 8 de Septiembre de 2016 • Apuntes • 2.023 Palabras (9 Páginas) • 1.225 Visitas

Página 1 de 9

3. De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

Controles 6 ORGANIZACIÓN 6.1 Organización interna	normativos (N)	organizativos (O) políticas	técnicos (T) caducidad hardware
6.1.1 Asignación de responsabilidades para la SI: Se deberían definir y asignar claramente todas las responsabilidades para la seguridad de la información.	Se requiere un documento normativo que lo establezca las responsabilidades.	Se requiere que la organización establezca las responsabilidades.
6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de interés con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.	Con el fin de reducir las oportunidades de modificación debe existir un documento que establezca la segregación de tareas.
6.1.3 Contacto con las autoridades: Se deberían mantener los contactos apropiados con las autoridades pertinentes.		Se debe establecer organizativamente cuales son las autoridades con las que se debe mantener contacto.
6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.		El área de seguridad se mantiene en constante contacto con grupos de interés en seguridad física tanto por sus capacitaciones internas como por su interacción con proveedores especializados en los temas.
6.1.5 Seguridad de la información en la gestión de proyectos: Se debería contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.	Se requiere un documento normativo que lo establezca.
6.2. Dispositivos para movilidad y teletrabajo Actividades de control del riesgo
6.2.1 Política de uso de dispositivos para movilidad: Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.	Diseñar e implementar controles de computación móvil, acompañada del procedimiento adecuado para estos equipos.
6.2.2 Teletrabajo: Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.	Diseñar e implementar políticas de seguridad para proteger las información accedida en ubicaciones destinadas como teletrabajo: Ejemplo políticas de VPN.

Controles 8 ACTIVOS Responsabilidad sobre los activos 8.1 Actividades de control del riesgo	normativos (N)	organizativos (O)	técnicos (T)
8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.		Se debe contar con sistema de inventarios. Se debe tener actualizada la información que tiene a desactualizarse con los nuevos cambios y compras de equipos
8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.		Debe existir a nivel organizativo un área encargada de inventario de la organización. Esta responsabilidad no debería de recaer en los empleados del área de soporte TI	Área tecnica de inventarios será la encargada del levantamiento de inventario por áreas.
8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.	Se requiere un documento normativo que lo establezca que regule el uso de la información.
8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.	Deben existir actas de devolución de c, con el fin de establecer un paz y salvo con la organización y el empelado.	El grupo de inventarios de la organización debe velar porque los activos sean devueltos a la organización.
Clasificación de la información 8.2 Actividades de control del riesgo
8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización	Debe existir una normativa que establece la clasificación de la información.	La organización debe clasificar su información según valor y sensibilidad.
8.2.2 Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.	Se debe establecer un esquema de clasificación de la información. De esta forma se establece quienes tienen acceso a la información.
8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.	Implantar procedimientos para la manipulación de activos.	La organización debe contar con sistema de manipulación de activos. De esta forma controlar la manipulación de los mismos
8.3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización.	Se deben establecer políticas de acceso a la información con el fin de restringir el acceso a la información , acorde a las políticas de la clasificación de la información con el fin de que información sensible de la empresa no sea extraída de la misma.	Se debe contar en la empresa con un sistema de vigilancia que registre la entrada y salida de los medios informáticos extraíbles.
8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.	Se deben establecer normativas para la eliminación de soportes, cuando estos ya no sean requeridos.
8.3.3 Soportes físicos en tránsito: Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.	Establecer pólizas con la empresa encargada de manipular los medios que contienen información sensible de la empresa fuera de los límites físicos de la organización.	La organización debe contar con un sistema de mensajería que se encargue de proteger los medios que contienen información fuera de los límites físicos de la organización.

...

Descargar como (para miembros actualizados) txt (14.2 Kb) pdf (148.1 Kb) docx (17.2 Kb)

Leer 8 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Norma Iso-2859 PROCEDIMIENTOS DE MUESTREO PARA INSPECCION POR ATRIBUTOS
NORMA TÉCNICA COLOMBIANA 2859-3 PROCEDIMIENTOS DE MUESTREO PARA INSPECCION POR ATRIBUTOS. PROCEDIMIENTOS DE MUESTREO INTERMITENTES OBJETO Esta norma establece los procedimientos genéricos del muestreo Intermitente

23 Páginas • 3629 Visualizaciones
Las Normas ISO 9000
CAPITULO I GENERALIDADES 1.1. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben

10 Páginas • 2240 Visualizaciones
Norma Iso 9001 Para La Calidad Del Software
NORMA ISO 9001 PARA LA CALIDAD DEL SOFTWARE La calidad del software la obtención de un software con calidad implica la utilización de metodologías o

11 Páginas • 1838 Visualizaciones
Normas ISO
... lenguaje común, que facilita el entendimiento entre productores y consumidores, la selección de materiales, procesos o productos, etc. La finalidad principal de las normas

2 Páginas • 1325 Visualizaciones
CALIDAD EN EL TRABAJO NORMAS ISO
INDICE INTRODUCCIÓN 1. DEFINICIÓN DE NORMAS ISO 2. OBJETIVOS DE LAS NORMAS ISO 3. EVOLUCIÓN Y CLASIFICACIÓN DE LAS NORMAS ISO 4. LAS NORMAS ISO

14 Páginas • 1253 Visualizaciones
Norma Iso 9001:2008
2.2.2. La actual Norma ISO 9001:2008 Sistemas de gestión de la calidad - Requisitos. Esta norma identifica los requisitos para un sistema de Gestión de

2 Páginas • 6967 Visualizaciones
NORMAS ISO 9000
NORMAS ISO 9000 La serie ISO 9000 es un conjunto de normas orientadas a ordenar la gestión de la empresa que han ganado reconocimiento y

6 Páginas • 1399 Visualizaciones
Dificultades En La Certificación De La Calidad Normas ISO
Las normas ISO aportan grandes beneficios en el sistema de calidad a las empresas, pero aunque ella esta diseñada para agregar valor en el sistema

3 Páginas • 1163 Visualizaciones
Taller Requisitos E Interpretacion Norma ISO 9001
Taller Semana 3. Requisitos e Interpretación de la Norma Internacional ISO 9001:2008. Datos del Aprendiz Nombres y Apellidos Código Curso Documento de Identidad Ponderación: Este

6 Páginas • 2735 Visualizaciones
Dificultades En La Certificación De La Calidad Normas ISO-
Calidad Dificultades en la certificación de la calidad normas ISO- Parte I Enfoque de la ponencia Las normas ISO aportan grandes beneficios en el sistema

25 Páginas • 903 Visualizaciones

Estudio norma iso 27001.

Responsabilidad sobre los activos