ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Tecnología de la información- técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información


Enviado por   •  28 de Julio de 2017  •  Práctica o problema  •  574 Palabras (3 Páginas)  •  131 Visitas

Página 1 de 3

ISO/IEC 17799-2000

Tema: Tecnología de la información- técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información.

ISO: Organización de estándares internacionales:

IEC: Comisión Electrónica Internacional (Ginebra, suiza)

 En 2015​ ​ son 83 miembros, cada uno de ellos representando a un país: son 60 los “Miembros Plenos”, y 23 los “Miembros Asociados”

Basado en la BS 7799 Parte 1 (REINO UNIDO) creado en 1995 (British Standard)

Reino Unido: EscociaGalesInglaterra e Irlanda del Norte.

  • No hay una certificación, porque no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
  • Es una guía de buenas prácticas.
  • Ofrece directrices y direcciones para la gestión de seguridad de la información.
  • La norma ISO/IEC 27001 Si es certificable y especifica los requisitos.

Tiene:

  • 10 áreas de control
  • 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles)
  • 127 controles (Prácticas, procedimientos o mecanismos que reducen el nivel de riesgo)

Diez áreas de control:

  • Política de seguridad.
  • Debe redactarse un documento de la política de seguridad de la información de la empresa, aprobado por gerencia y publicado y comunicado a todos los empleados y partes externas relevantes.
  • Revisarse en intervalos planeados.
  • Aspectos organizativos para la seguridad
  • Organización interna (Manejar la seguridad de la información dentro de la empresa) Acuerdos de no divulgación. Fórmula para fabricar la coca-cola
  • Organización externa (restricciones de áreas) Solo personal autorizado.
  • Clasificación y control de los activos
  • Responsabilidad
  • Inventarios
  • Proteger la información: bases de datos, documentación del sistema, entre otros.
  • Activos físicos.
  • Activos de software: software de aplicación, del sistema, entre otros.
  • Intangibles: reputación de la empresa y la imagen de la organización.
  • Proceso disciplinario.

  • Seguridad ligada al personal
  • Roles y responsabilidades.
  • Investigación de antecedentes (INFORNET, antecedentes penales y policiacos)
  • Términos y condiciones de empleo.

  • Seguridad física y del entorno
  • Evitar el acceso físico no autorizado(paredes, rejas controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información.
  • Registrar fecha y hora de ingreso y fecha y hora de salida
  • Gestión de comunicaciones y operaciones.
  • Procedimientos de operaciones documentados.
  • Monitoreo y revisión
  • Protección contra código malicioso y móvil (back up)
  • Control de accesos.
  • Debe haber una política de control de acceso.
  • Uso de usuarios, claves secretas.
  • Control de acceso a la red, al sistema operativo, aplicaciones móviles.
  • Desarrollo y mantenimiento de sistemas.
  • Adquisición también entra.
  • Garantizar que la seguridad sea parte del sistema.
  • Que todos los empleados, contratistas y terceros reporten alguna falla.
  • Gestión de continuidad del negocio.
  • Identificar los eventos que puedan causar interrupciones, junto con la probabilidad y el impacto.
  • Desarrollar planes de continuidad.
  • Conformidad o Cumplimiento.
  • Cumplimiento de los requerimientos legales.
  • Evitar las violaciones a cualquier ley
  • Derechos de propiedad intelectual
  • Patentar software.
  • Prevención del mal uso de la información.
  • Velar por el cumplimiento de las políticas y estándares de seguridad.

...

Descargar como (para miembros actualizados) txt (4 Kb) pdf (98 Kb) docx (13 Kb)
Leer 2 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com