** VERSIN DE MUESTRA GRATIS **

[logo de la organizacin] [nombre de la organizacin]

METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS

Cdigo: Versin: Fecha de la versin: Creado por: Aprobado por: Nivel de confidencialidad:

2010 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de confidencialidad]

Historial de modificaciones
Fecha 27/08/2010 Versin 0.1 Creado por Dejan Kosutic Descripcin de la modificacin Descripcin bsica del documento

Tabla de contenido
1. 2. 3. OBJETIVO, ALCANCE Y USUARIOS ............................................................................................................ 3 DOCUMENTOS DE REFERENCIA ................................................................................................................ 3 METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS .............................................................. 3 3.1. EVALUACIN DE RIESGOS ............................................................................................................................. 3 3.1.1. Organizacin ................................................................................................................................. 3 3.1.2. Activos, vulnerabilidades y amenazas........................................................................................... 3 3.1.3. Impactos y probabilidades ............................................................................................................ 3 3.2. CRITERIOS PARA LA ACEPTACIN DE RIESGOS ....................................................... ERROR! BOOKMARK NOT DEFINED. 3.3. TRATAMIENTO DE RIESGOS .............................................................................. ERROR! BOOKMARK NOT DEFINED. 3.4. REVISIONES PERIDICAS DE LA EVALUACIN Y EL TRATAMIENTO DE RIESGOS .............. ERROR! BOOKMARK NOT DEFINED. 3.5. INFORMES .................................................................................................... ERROR! BOOKMARK NOT DEFINED. 4. 5. 6. GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO . ERROR! BOOKMARK NOT DEFINED. VALIDEZ Y GESTIN DE DOCUMENTOS ................................................ ERROR! BOOKMARK NOT DEFINED. APNDICES ........................................................................................... ERROR! BOOKMARK NOT DEFINED.

Metodologa de evaluacin y tratamiento de riesgos

ver. [versin] del [fecha]

Pgina 2 de 4

2010 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de confidencialidad]

1. Objetivo, alcance y usuarios

El objetivo del presente documento es definir la metodologa para evaluar y tratar los riesgos de la informacin en [nombre de la organizacin] y definir el nivel aceptable de riesgo segn la norma ISO/IEC 27001. La evaluacin y tratamiento de riesgos se aplica a todo el alcance del Sistema de gestin de seguridad de la informacin (SGSI); es decir, a todos los activos de informacin que se utilizan dentro de la organizacin o que pueden tener un impacto sobre la seguridad de la informacin en el mbito del SGSI. Los usuarios de este documento son todos los empleados de [nombre de la organizacin] que participan en la evaluacin y tratamiento de riesgos.

2. Documentos de referencia
Norma ISO/IEC 27001, punto 4.2.1 c) Poltica del sistema de gestin de seguridad de la informacin Declaracin de aplicabilidad

3.
3.1.

Metodologa de evaluacin y tratamiento de riesgos

Evaluacin de riesgos

3.1.1. Organizacin La evaluacin de riesgos se implementa a travs del Cuadro de evaluacin de riesgos. El proceso de evaluacin de riesgos es coordinado por [cargo] y la evaluacin de riesgos para activos individuales es realizada por los propietarios de los activos. 3.1.2. Activos, vulnerabilidades y amenazas El primer paso en la evaluacin de riesgos es la identificacin de todos los activos de informacin de la organizacin; es decir, todos los activos que pueden afectar la confidencialidad, integridad y disponibilidad de la informacin en la organizacin. Los activos pueden ser documentos en papel o en formato electrnico, aplicaciones y bases de datos, personas (porque cuentan con informacin importante), equipos de TIC, servicios internos y externos. Al identificar los activos tambin es necesario identificar a sus "propietarios": la persona o unidad organizativa responsable de cada activo. El siguiente paso es identificar todas las amenazas y vulnerabilidades relacionadas con cada activo. Las amenazas y vulnerabilidades se identifican utilizando los catlogos incluidos en el Cuadro de evaluacin de riesgos. Cada activo puede estar relacionado a varias amenazas, y cada amenaza puede estar vinculada a varias vulnerabilidades. 3.1.3. Impactos y probabilidades

Metodologa de evaluacin y tratamiento de riesgos

ver. [versin] del [fecha]

Pgina 3 de 4

2010 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de confidencialidad]

Despus de haber identificado las amenazas y vulnerabilidades, se deben evaluar las consecuencias sobre un activo individual en el caso de que un riesgo llegue a materializarse:

** FIN DE MUESTRA GRATIS ** Para descargar la versin completa de este documento haga clic aqu: http://www.iso27001standard.com/es/documentacion/Metodologia-de-evaluacion-y-tratamientode-riesgos

Metodologa de evaluacin y tratamiento de riesgos

ver. [versin] del [fecha]

Pgina 4 de 4

2010 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.