2. Es una agencia federal fundado en 1901 no regulador
que forma parte de la Administración de Tecnología del
Departamento de Comercio de los EE.UU. Estas guías y
directrices recogidas bajo la Serie 800 son documentos
muy elaborados que cubren múltiples aspectos
relacionados con la seguridad de la información y que
pueden servir de apoyo a la hora de desarrollar
políticas, procedimientos y controles.
Instituto Nacional de Normas y Tecnología
3. Elaborar y promover patrones de
medición, normas y tecnología con
el fin de realzar la productividad,
facilitar el comercio y mejorar la
calidad de vida.
4. • Manejo y evaluación de riesgos Definir y documentar políticas;
administrar y mejorar políticas.
• Política de seguridad: Hacer inventario de datos y activos, clasificar
datos, asigna propiedad de datos y activos, definir el uso adecuado de
activos.
• Organización de la seguridad de la información: Restringir y administrar
el acceso en función de políticas, controlar el acceso remoto, proteger el
acceso al sistema operativo, autenticar usuarios con eficacia.
•Administración de activos: Eliminar derechos de acceso según sea
necesario, brindar capacitación a los usuarios con respecto a los
requerimientos de seguridad, administrar con eficacia a empleados y
contratistas, controlar antecedentes.
5. •Seguridad de recursos humanos: Controlar el acceso físico,
protegerse de amenazas externas, proteger equipos, eliminar
activos de manera segura
•Seguridad física y ambiental: Proteger mensajes electrónicos,
documentación de sistemas de TI, transacciones y logos de
auditorías; monitorear y administrar sistemas de TI y terceros;
hacer backup de datos; eliminar medios de manera segura
6. •Administración de comunicaciones y operaciones: Asignar
responsabilidades de seguridad, garantizar las ventajas de
administración con respecto a iniciativas de seguridad,
establecer programas permanentes de administración de
seguridad, llevar a cabo revisiones independientes de
programas de seguridad.
•Organización de la seguridad de la información: Restringir y
administrar el acceso en función de políticas, controlar el
acceso remoto, proteger el acceso al sistema operativo,
autenticar usuarios con eficacia.
7. • Control de acceso: Prevenir la filtración de
datos, controlar , informes listos para usar.
• Adquisición, desarrollo y mantenimiento
de sistemas de información: Informar
eventos de seguridad, aprender de eventos
de seguridad, conservar evidencia
relacionada con eventos de seguridad
8.
9. La mayoría de los sistemas de calidad
indican que cada determinado tiempo
deberán certificarse los equipos de
medición partiendo de la fecha de su
compra no de la fecha del certificado.