Iso 27001
Enviado por Carolina Diaz • 9 de Diciembre de 2019 • Informe • 916 Palabras (4 Páginas) • 286 Visitas
DESARROLLO
- Redactar un escenario de al menos un párrafo donde se evidencie incumplimiento a los requisitos de la norma ISO 27001 en cuanto a política de seguridad de la información (5.2).
Definir una política de seguridad de la información donde no tiene claramente definidos los objetivos de seguridad de la información incumpliendo el compromiso de mejora continua del Sistemas de Gestión de Seguridad de la Información. Así mismo, la Organización incumple la política de seguridad de la información al no mantenerla documentada, no disponible para las partes interesadas y al no ser comunicada dentro de la organización.
- Redactar un escenario de al menos un párrafo donde se evidencia el incumplimiento a los requisitos de la norma ISO 27001 en cuanto a la apreciación de riesgos de seguridad de la información (6.1.2).
En toda organización se debe tener documentado el proceso de apreciación de los riesgos de seguridad de la información, donde podamos tener resultados consistentes y que permitan ser validados y comparables. Este proceso debe garantizar identifica quién es el dueño o los dueños de los riesgos y así mismo evitar la pérdida de la confidencialidad, integridad y disponibilidad de la información.
- Crear una lista de chequeo de al menos 15 preguntas de comprobación de cumplimiento de requisitos generales de la norma. Cree un formato de lista de chequeo. (Cuadro).
ITEM | Objetivo de control | Descripción | Cumplimiento | Recomendación | |
SI | NO | ||||
1 | Políticas de Seguridad | La organización cuenta con documento de políticas de seguridad de la Información? |
|
|
|
2 | Organización de la Seguridad de la Información | Se tienen definidas y asignadas todas las responsabilidades de seguridad de la información? |
|
|
|
3 | Fue revisada la seguridad de la información en la Gestión del Proyecto? |
|
|
| |
4 | Se definieron medidas de seguridad para el uso de la información en dispositivos móviles? |
|
|
| |
5 | Se tiene acceso a la información de la organización de forma remota? |
|
|
| |
6 | Seguridad relativa a RRHH | Se le informó a los empleados y contratistas los términos, condiciones y obligaciones del uso de la información de la compañía? |
|
|
|
7 | Se capacita a los empleados sobre la necesidad e importancia de aplicar las políticas de seguridad definidas? |
|
|
| |
8 | Gestión de activos | La organización cuenta con el inventario de activos? |
|
|
|
9 | Se definió las condiciones de uso y devolución de los activos? |
|
|
| |
10 | Clasificación de la información y soportes | Se tiene implementado un esquema de organización y manipulación de la información? |
|
|
|
11 | Se definieron procedimientos para evitar la modificación o eliminación de soportes? |
|
|
| |
12 | Control de acceso | Se tiene el control del ingreso y salida de los usuarios autorizados para el uso de la información? |
|
|
|
13 | Se tienen registro y control de los privilegios del uso o no de la información? |
|
|
| |
14 | Se tienen definido una política de control de acceso a la información? |
|
|
| |
15 | Seguridad Física | Se tienen identificadas áreas de acceso restringidas en la organización? |
|
|
|
16 | Seguridad de equipos | Los quipos cuentan el software de antivirus y actualizado? |
|
|
|
...