Beruflich Dokumente
Kultur Dokumente
Requisitos Generales
La organizacin debe establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la documentacin del SGSI en el contexto de las actividades de negocios global de la organizacin y se corren altos riesgos.
1. Incluye un marco para establecer objetivos y establecer una direccin general y los principios para la accin relacionados con la seguridad de la informacin. 2. Tiene en cuentas comerciales, legales y / o reglamentarias y las obligaciones contractuales de seguridad. 3. Se alinea con el contexto estratgico para la gestin de riesgos de la organizacin en la que el establecimiento y el mantenimiento del SGSI se producir. 4. Establecer los criterios en que se evaluar el riesgo. 5. Ha sido aprobado por la direccin.
e)
1. Evaluar los impactos de negocio de la organizacin que pueden resultar de fallas de seguridad, lo en cuenta las consecuencias de una prdida de confidencialidad, integridad o disponibilidad activos. 2. Evaluar la probabilidad realista de la ocurrencia de violaciones de seguridad a la luz de las amenazas y vulnerabilidades prevalente, y los impactos asociados a estos activos y los controles aplicados en la actualidad. 3. Estimacin de los niveles de riesgo. 4. Determinar si los riesgos son aceptables o si requiere tratamiento con los criterios de aceptacin de riesgo establecidos.
f) Identificar y evaluar opciones para el tratamiento de los riesgos. Las acciones posibles incluyen:
1. Aplicar controles adecuados. 2. Aceptar los riesgos que a sabiendas y de manera objetiva, clara, siempre que cumplan las polticas de organizacin y los criterios para la aceptacin de los riesgos. 3. Evitar los riesgos. 4. La transferencia de los riesgos asociados con el negocio a otras partes, por ejemplo, los aseguradores y proveedores.
g) Seleccione los objetivos de control y controles para el tratamiento del riesgo. Los objetivos de control y los controles deben seleccionarse y aplicarse para cumplir los requisitos identificados por anlisis de evaluacin y riesgo y el proceso de manejo de riesgos. Esta seleccin debe considerar los criterios para la aceptacin de riesgos (vase 4.2.1c) 2)), as como los requisitos legales, reglamentos y contratos.
Los objetivos de control y controles en el Anexo A deben ser seleccionados como parte de este proceso como adecuados para cubrir estos requisitos. Los objetivos de control y controles que se enumeran en el anexo A no son exhaustivos, y los objetivos de control y controles adicionales tambin se pueden seleccionar.
h) Obtener la aprobacin de la gestin de los riesgos residuales propuestos. i) Obtener autorizacin de la administracin para implementar y operar el SGSI.
j) Elaborar una Declaracin de Aplicabilidad. Una Declaracin de Aplicabilidad sern preparados, incluyendo las siguientes: 1. Los objetivos de control y controles seleccionados y las razones para su seleccin. 2. Los objetivos de control y los controles implementados en la actualidad. 3. La exclusin de cualquier objetivo de control y controles en el anexo A y la justificacin de su exclusin.
NOTA: La Declaracin de Aplicabilidad ofrece un resumen de las decisiones relativas al tratamiento de los riesgos. La justificacin de las exclusiones proporciona un control cruzado que no hay control se omiti involuntariamente.
d) Definir cmo medir la eficacia de los controles o grupos de controles seleccionados y especificar cmo medidas deben ser utilizados para evaluar la eficacia de los controles con el fin de obtener resultados comparables y reproducible. NOTA: La medicin de la eficacia de los controles permiten a los administradores y el personal para determinar cmo lleg a los controles satisfactoriamente los objetivos de control previstos.
e) Implementar la formacin y programas de sensibilizacin. f) Gestionar las operaciones del SGSI. g) Administrar los recursos para el SGSI.
1. 2. 3.
4.
5.
Rpidamente detectar errores en los resultados del tratamiento. Identificar rpidamente intento de violaciones de seguridad y xito, y los incidentes de seguridad informacin. Que la direccin pueda determinar si las actividades de proteccin en las personas en o informacin implementado a travs de tecnologa de la informacin se realiza como se esperaba. Para ayudar a detectar los eventos de seguridad y prevencin de incidentes de seguridad de informacin informacin mediante el uso de indicadores . Determinar si las medidas adoptadas para resolver una violacin de la seguridad son eficaces.
b) Llevar a cabo revisiones peridicas de la eficacia de los SGSI (reuniones, incluyendo la poltica y los objetivos SGSI y revisin de los controles de seguridad), teniendo en cuenta los resultados de las auditoras de la seguridad de la informacin, los incidentes de seguridad de la informacin, los resultados de eficacia de las medidas sugerencias y comentarios de todos los interesados. c) Medir la eficacia de los controles para verificar que los requisitos de seguridad se han cumplido.
d) Revisar los anlisis y evaluaciones de riesgo a intervalos planificados y el anlisis de los riesgos residual y aceptables niveles de riesgo identificados, teniendo en cuenta los cambios a:
1. 2. 3. 4. 5. 6. La organizacin. Las tecnologas. Los objetivos y procesos de negocio. Las amenazas identificadas. La eficacia de los controles implementados. Los acontecimientos externos, como cambios en el entorno legal o reglamentario, los cambios en obligaciones contractuales y los cambios en el clima social.
e) La realizacin de auditoras internas del SGSI en intervalos planificados. NOTA Las auditoras internas, a veces llamado auditoras de primera parte son realizadas por o en nombre de propia organizacin para fines internos. f) Llevar a cabo una revisin del SGSI de forma regular para garantizar que el alcance sigue siendo apropiada y que las mejoras se identifican en el proceso de SGSI. g) Actualizacin de seguridad de la informacin tiene previsto tener en cuenta los resultados de las actividades seguimiento y revisin.