Information Security Management Maturity Model
Enviado por Jazary CB • 1 de Junio de 2016 • Apuntes • 7.505 Palabras (31 Páginas) • 256 Visitas
Contenido
1. Introducción
1.1 Consideraciones generales
1.2 Estructura de este documento
1.3 Enfoque
1.4 Aplicación
La versión futura de esta norma dará orientación sobre los parámetros y recursos para cada proceso.
1.5 Modelo de Información del Sistema
1.5.1 Componentes
1.5.2 Propiedades
1.6 Modelo de Organización
1.6.1 Estructura
1.6.2 Procesos
1.7 Seguridad en el contexto del modelo
1.7.1 Definición de Seguridad
1.7.2 Objetivos de Seguridad
1.7.3 Seguridad Objetivos
1.7.4 Evaluación de procesos y medidas de seguridad
2 Uso ISM3
2.1 Niveles Descripción
2.2 Certificación
2.4 Niveles Tablas
3 Seguridad de la Información de Gestión Modelo
3.1 Introducción
3.2 Los objetivos genéricos
3.3 Productos de trabajo genéricos
3.4 Práctica genérica: Documentación
3.4.1 Objetivos genérica
3.5 Práctica específica: Gestión Estratégica
3.5.1 Objetivos específicos
3.6 Práctica específica: gestión táctica
3.6.1 Objetivos específicos
3.6.8 Seguridad Proceso de Selección
3.7 Práctica específica: gestión operativa
3.7.1 Objetivos de gestión
3.7.5 Sistemas de Información de Gestión
3.7.6 Medidas de Seguridad de Gestión del Ciclo de Vida
3.7.7 Pruebas y Auditoría
3.7.8 Monitoreo
3.7.9 Manejo de Incidentes
4 Gestión de responsabilidades
4.1 Introducción
4.2 Transparencia
4.3 Particiones
4.4 Supervisión
4.5 Rotación
4.6 Separación
5 despliegue
Information Security Management Maturity Model
1. Introducción
1.1 Consideraciones generales
El propósito de los sistemas de gestión de seguridad de la información (ISM) es prevenir o mitigar los ataques, los errores y accidentes
que pueden poner en peligro la seguridad de los sistemas de información y los procesos de la organización con el apoyo de ellos.
El Modelo de Madurez de Gestión de la Información de Seguridad (ISMMM o ISM3) ofrece un nuevo enfoque para la especificación, implantación, operación y evaluación de sistemas ISM y:
- pretende ser aplicable a cualquier organización, independientemente del medio ambiente y el tamaño;
- se pueden utilizar para mejorar los sistemas ISM de una organización, poniendo de relieve las diferencias entre el nivel de madurez actual y el nivel de madurez de destino;
- utiliza un enfoque cualitativo para evaluar la madurez del sistema ISM de una organización y su entorno de control de seguridad de la información;
- pueden ser útiles como una guía para las prioridades de inversión. Por comparación entre los objetivos y metas de seguridad de madurez, análisis de nivel de madurez puede ayudar a determinar si una organización debería gastar más o menos en la seguridad de la información.
ISM3 define la madurez en términos de procesos ISM y tres amplios niveles de responsabilidad de gestión. Se introducen cuatro modelos conceptuales:
- Seguridad de la Información Modelo de Gestión: Proporciona un marco para identificar los procesos clave en un sistema ISM y evaluar su madurez.
- Modelo de Organización: proporciona una visión basada en las responsabilidades de una organización;
- Información de modelo de sistema: Proporciona una forma de describir los principales componentes y propiedades de los sistemas de información;
- Seguridad en el contexto del modelo: permite a una organización para preparar su propia definición de seguridad adecuado para el medio ambiente y la misión de la organización.
Es importante tener en cuenta que muchas de las amenazas a las organizaciones no entran en el ámbito de la gestión de los sistemas de información. Algunos de tales amenazas son de origen interno, a menudo con acciones erróneas, maliciosos o fraudulentos del personal. Estas amenazas incluyen:
- El error humano;
- La incompetencia;
- Fraude;
- Corrupción.
Estas amenazas están fuera del alcance de ISM3 porque ISM3 busca indicios de la existencia de procesos no es el rendimiento; el rendimiento es responsabilidad de la administración. Sin embargo, el uso de la transparencia, la partición, la supervisión, la rotación y la separación de responsabilidades (TPSRSR) sobre ISM y los procesos no-ISM puede ayudar a proteger los sistemas de organización y de información de este tipo de amenaza.
...