1 / 17

ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27005

ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27005. Ricardo Paucara Quispe. OBJETO Y CAMPO DE APLICACIÓN. Tecnología de la información - Técnicas de seguridad - Gestión del riesgo en la seguridad de la información.

myrrh
Download Presentation

ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27005 Ricardo Paucara Quispe

  2. OBJETO Y CAMPO DE APLICACIÓN. • Tecnología de la información - Técnicas de seguridad - Gestión del riesgo en la seguridad de la información. • Esta norma suministra directrices para la gestión del riesgo en la seguridad de la información. • Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización.

  3. REFERENCIAS NORMATIVAS. • NB/ISO/IEC 27001:2007 Tecnología de la información - Técnicas de seguridad – Sistemas de gestión de seguridad – Requisitos. • NB/ISO/IEC 27002:2007 Tecnología de la información - Técnicas de seguridad - Código de práctica para la gestión de seguridad de la información.

  4. ESTRUCTURA DE ESTA NORMA • Esta norma contiene la descripción de los procesos para la gestión del riesgo en la seguridad de la información y sus actividades. • establecimiento del contexto, en el numeral 7; • valoración del riesgo, en el numeral 8; • tratamiento del riesgo, en el numeral 9; • aceptación del riesgo, en el numeral 10; • comunicación del riesgo, en el numeral 11; • monitoreo y revisión del riesgo, en el numeral 12.

  5. ESTRUCTURA DE LA NORMA • Todas las actividades para la gestión del riesgo que se presentan en los numerales 7 al 12 están estructuradas de la siguiente manera: • Entrada: identifica toda la información que se requiere para realizar la actividad. • Acciones: describe la actividad. • Guía de implementación: proporciona guías para llevar a cabo la acción. Algunas de ellas pueden no ser adecuadas en todos los casos y por ende otras formas de ejecutar la acción pueden ser más adecuadas. • Salida: identifica toda la información derivada después de realizar la actividad.

  6. INFORMACION GENERAL • La gestión del riesgo en la seguridad de la información debería ser un proceso continuo. • La gestión del riesgo en la seguridad de la información debería contribuir a: • la identificación de los riesgos; • La valoración de los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia. • El establecimiento del orden por prioridad para el tratamiento de los riesgos. • La educación de los directores y del personal acerca de los riesgos y las acciones que se toman para mitigarlos.

  7. INFORMACION GENERAL • El proceso de gestión del riesgo en la seguridad de la información se puede aplicar a la organización en su totalidad, a una parte separada de la organización (por ejemplo, un departamento, una ubicación física, un servicio), a cualquier sistema de información, existente o planificado, o a aspectos particulares del control (por ejemplo, la planificación de la continuidad del negocio)

  8. VISION GENERAL DEL PROCESO DE GESTION DEL RIESGO EN LA SEGURIDAD DE LA INFORMACION

  9. ACTIVIDADES DE GESTION DEL RIESGO EN LA SEGURIDAD DE LA INFORMACION

  10. 7.- ESTABLECIMIENTO DEL CONTEXTO • 7.1.- Consideraciones Generales. • 7.2.- Criterios Básicos. • 7.3.- El alcance y los limites. • 7.4.- Organización para la gestión del riesgo en la seguridad de la información.

  11. 8.- VALORACION DEL RIESGO EN LA SEGURIDAD DE LA INFORMACION. • 8.1.- Descripción general de la valoración del riesgo en la seguridad de la información. • 8.2.- Análisis del riesgo. • 8.3.- Evaluación del riesgo.

  12. 9.-TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN • 9.1 DESCRIPCIÓN GENERAL DEL TRATAMIENTO DEL RIESGO.

  13. 9.-TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN • 9.2 REDUCCIÓN DEL RIESGO. • 9.3 RETENCIÓN DEL RIESGO. • 9.4 EVITACIÓN DEL RIESGO. • 9.5 TRANSFERENCIA DEL RIESGO.

  14. 10 ACEPTACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN • Los criterios de aceptación del riesgo pueden ser más complejos que sólo determinar si un riesgo residual está o no por encima o por debajo de un solo umbral.

  15. 11 COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN • La comunicación del riesgo es una actividad para lograr un acuerdo sobre la manera de gestionar los riesgos al intercambiar y/o compartir la información acerca de los riesgos, entre quienes toman las decisiones y las otras partes involucradas. La información incluye, pero no se limita a la existencia, naturaleza, forma, probabilidad, gravedad, tratamiento y aceptabilidad de los riesgos.

  16. 12 MONITOREO Y REVISIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN • 12.1 MONITOREO Y REVISIÓN DE LOS FACTORES DE RIESGO. • 12.2 MONITOREO, REVISIÓN Y MEJORA DE LA GESTIÓN DEL RIESGO.

  17. PREGUNTAS • 1.- COMO AFECTA LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACION A LAS EMPRESAS BOLIVIANAS? • 2.- CREE QUE ESTA NORMA BOLIVIANA AYUDARA A ESTAS EMPRESAS, Y EN QUE MEDIDA?

More Related