No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de
una manera ordenada y metódica, mediante un proceso.
El documento describe los requisitos clave de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Estos incluyen desarrollar una política de seguridad, realizar un inventario de activos, analizar riesgos, seleccionar controles, revisar periódicamente el SGSI y mejorarlo continuamente. La dirección debe aprobar la documentación del SGSI y proveer recursos para su implementación y gestión.
ISO/IEC 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información. La norma requiere que una organización documente su sistema, incluyendo políticas, procedimientos, análisis de riesgos e inventario de activos. También requiere auditorías internas, compromiso de la dirección y mejora continua del sistema.
Un SGSI es un conjunto de procesos diseñados para gestionar la seguridad de la información de una organización y asegurar la confidencialidad, integridad y disponibilidad de los activos de información. Establecer un SGSI implica definir el alcance, política de seguridad, activos de información, análisis de riesgos, tratamiento de riesgos y selección de controles, con el compromiso y apoyo de la dirección. Un SGSI exitoso requiere documentación, auditorías, revisión por la dirección y mejora continua.
Sistema de gestion de la informacion heidy villatoroHeissel21
Este documento presenta los conceptos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica que un SGSI establece, implementa, monitorea y mejora la seguridad de la información a través de una estructura de políticas, actividades y procedimientos. También describe los pasos clave para establecer un SGSI, incluida la definición del alcance, la identificación de activos, el análisis de riesgos y la selección de
El documento describe los requisitos de ISO 27001 para establecer, implementar, operar, monitorear y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Detalla los pasos para definir la política y alcance del SGSI, evaluar riesgos, seleccionar controles, implementar el plan de tratamiento de riesgos, realizar auditorías internas y revisiones gerenciales, e implementar mejoras continuas.
Este documento describe los componentes clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI es un sistema documentado para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. También describe los pasos para establecer un SGSI, incluyendo definir el alcance, realizar un análisis de riesgos, seleccionar controles, implementar el sistema, y revisarlo de
Un SGSI según la norma ISO/IEC 27001 es una parte del sistema de gestión general de una organización que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de manera sistemática. Un SGSI ayuda a establecer políticas y procedimientos para mantener un nivel de exposición menor al nivel de riesgo que la organización ha decidido asumir. Un SGSI se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acc
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
El documento describe los requisitos clave de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Estos incluyen desarrollar una política de seguridad, realizar un inventario de activos, analizar riesgos, seleccionar controles, revisar periódicamente el SGSI y mejorarlo continuamente. La dirección debe aprobar la documentación del SGSI y proveer recursos para su implementación y gestión.
ISO/IEC 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información. La norma requiere que una organización documente su sistema, incluyendo políticas, procedimientos, análisis de riesgos e inventario de activos. También requiere auditorías internas, compromiso de la dirección y mejora continua del sistema.
Un SGSI es un conjunto de procesos diseñados para gestionar la seguridad de la información de una organización y asegurar la confidencialidad, integridad y disponibilidad de los activos de información. Establecer un SGSI implica definir el alcance, política de seguridad, activos de información, análisis de riesgos, tratamiento de riesgos y selección de controles, con el compromiso y apoyo de la dirección. Un SGSI exitoso requiere documentación, auditorías, revisión por la dirección y mejora continua.
Sistema de gestion de la informacion heidy villatoroHeissel21
Este documento presenta los conceptos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica que un SGSI establece, implementa, monitorea y mejora la seguridad de la información a través de una estructura de políticas, actividades y procedimientos. También describe los pasos clave para establecer un SGSI, incluida la definición del alcance, la identificación de activos, el análisis de riesgos y la selección de
El documento describe los requisitos de ISO 27001 para establecer, implementar, operar, monitorear y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Detalla los pasos para definir la política y alcance del SGSI, evaluar riesgos, seleccionar controles, implementar el plan de tratamiento de riesgos, realizar auditorías internas y revisiones gerenciales, e implementar mejoras continuas.
Este documento describe los componentes clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI es un sistema documentado para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. También describe los pasos para establecer un SGSI, incluyendo definir el alcance, realizar un análisis de riesgos, seleccionar controles, implementar el sistema, y revisarlo de
Un SGSI según la norma ISO/IEC 27001 es una parte del sistema de gestión general de una organización que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de manera sistemática. Un SGSI ayuda a establecer políticas y procedimientos para mantener un nivel de exposición menor al nivel de riesgo que la organización ha decidido asumir. Un SGSI se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acc
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
Sistema de gestión de la seguridad de la informacionDarwin Calix
El documento describe los elementos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI ayuda a establecer políticas y procedimientos para mantener un nivel de riesgo aceptable mediante un enfoque sistemático y documentado. Detalla los componentes clave de un SGSI como el manual de seguridad, procedimientos, registros y la importancia de la evaluación y gestión de riesgos. Además, explica el papel fundamental de la dirección en la implement
El documento presenta el Sistema de Gestión de Seguridad de la Información que se está implementando en el Ministerio de Hacienda de acuerdo a estándares internacionales. Explica que la seguridad de la información busca preservar la confidencialidad, integridad y disponibilidad de los datos. También describe la estructura y proceso de desarrollo del sistema, así como los roles de las diferentes unidades y la documentación requerida. Finalmente, solicita la colaboración de las direcciones en la designación de encargados de seguridad y en la difus
Este documento resume los estándares ISO 27001 e ISO 27002 relacionados con la gestión de seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. ISO 27002 describe objetivos de control y buenas prácticas de seguridad en doce secciones. La implementación de ISO 27001 requiere un proyecto de 6 a 12 meses para evaluar riesgos, seleccionar controles y documentar el sistema.
Este documento introduce los conceptos clave de la norma ISO27001 sobre gestión de la seguridad de la información. Explica los tres aspectos de la seguridad de la información (confidencialidad, integridad y disponibilidad), el proceso de evaluación de riesgos, y los principales controles definidos en la norma agrupados en seis categorías. También describe brevemente el proceso de certificación ISO27001, que incluye una auditoría externa para demostrar el cumplimiento de la organización con los requisitos de la norma.
La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información efectivo. Cubre la implementación de políticas y objetivos de seguridad, evaluación y tratamiento de riesgos, gestión de activos, controles de seguridad, auditoría y revisión. La norma se basa en el ciclo PDCA de planificación, implementación, verificación y acción para mejora continua. ISO 27002 proporciona recomendaciones de buenas prácticas para la gestión de seguridad de la información en áreas como
Sistema de gestión de la seguridad de la informacióncarolapd
Un SGSI es un sistema para gestionar la seguridad de la información de una organización de forma sistemática y documentada. Incluye establecer una política de seguridad, evaluar riesgos, tratar los riesgos identificados, y documentos como procedimientos, registros e informes. Se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acción continua para mantener y mejorar continuamente la seguridad de la información.
Auditoria de seguridad y salud en el trabajoYanet Caldas
Este documento proporciona una introducción a las auditorías de seguridad y salud en el trabajo. Explica que una auditoría es un procedimiento sistemático e independiente para evaluar un sistema de gestión de seguridad y salud. Los objetivos de una auditoría incluyen determinar si el sistema se ha implementado correctamente, verificar la eficacia de la política y objetivos de la organización, y proponer medidas preventivas y correctivas. Además, describe los pasos clave de una auditoría como la revisión de documentación, trabajo de campo y emisión de un informe
Auditoria de salud y seguridad ocupacional (1)SENA810561
Este documento presenta un resumen de una auditoría de salud y seguridad ocupacional realizada por un equipo de 4 personas. Explica brevemente los conceptos generales de una auditoría y cómo evalúa el sistema de gestión de seguridad y salud en cada proceso y actividad de los empleados para minimizar riesgos. También describe el sistema de gestión de seguridad y salud OHSAS 18001 y sus evidencias de implementación para reducir riesgos en el lugar de trabajo y mejorar el desempeño ambiental de una organización.
Las auditorías de seguridad son una herramienta para evaluar el cumplimiento de los procedimientos, normas y reglamentaciones de seguridad. El proceso de auditoría incluye una revisión administrativa y operativa para detectar desviaciones, así como también proponer mejoras. El informe final documenta los hallazgos y establece un plan de acciones correctivas para corregir deficiencias y lograr un mejoramiento continuo.
Este documento resume los principales elementos de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI es un sistema gerencial basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización. Describe las cuatro fases principales de un SGSI: Planificar, Hacer, Revisar y Actuar.
Este documento define una auditoría de seguridad y describe sus parámetros clave. Explica que una auditoría de seguridad es un examen sistemático de una planta para verificar la suficiencia de su programa de seguridad y salud. Luego describe objetivos, principios, alcance, frecuencia, criterios de auditoría y contenido de una auditoría de seguridad. El contenido incluye elementos como liderazgo, análisis de riesgos, investigación de accidentes, capacitación y equipos de protección personal.
Este documento describe los principales componentes de un Sistema de Gestión de Seguridad de la Información (SGSI) según la Norma UNE-ISO/IEC 27001. Explica que un SGSI utiliza el ciclo PDCA y requiere documentos como una política de seguridad, un inventario de activos, un análisis de riesgos y documentación sobre los controles de seguridad. También requiere el compromiso de la dirección, formación para el personal, auditorías internas y la mejora continua del sistema.
Este documento proporciona una introducción al estándar ISO 27001 para la seguridad de la información. Explica que la norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre la evolución de la norma, el proceso de implementación, la certificación, otros estándares relacionados con la seguridad de la información, y los beneficios de la certificación ISO 27001.
El documento establece lineamientos generales sobre gestión de información y seguridad de la información. Define términos clave como activo, control, riesgo y políticas. Explica la importancia de evaluar riesgos, seleccionar controles, establecer una política de seguridad de información y asignar responsabilidades. También cubre temas como grupos externos, confidencialidad, contacto con autoridades y revisión gerencial.
Auditoria de Sistemas Informacion como un activo.peponlondon
El documento habla sobre la información, la seguridad de la información y los sistemas de gestión de seguridad de la información. Define la información y la seguridad de la información, y explica que un sistema de gestión de seguridad de la información es importante para proteger la confidencialidad, integridad y disponibilidad de la información de una organización. También describe los pasos clave para establecer un sistema de gestión de seguridad de la información efectivo.
El documento describe los estándares ISO 27001 para sistemas de gestión de seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. La certificación ISO 27001 demuestra el compromiso de una organización con la protección de la información y puede proporcionar ventajas competitivas.
El documento proporciona lineamientos para gestionar los riesgos relacionados con grupos externos que tienen acceso a la información y sistemas de una organización. Se recomienda identificar los riesgos y aplicar controles antes de otorgar acceso externo. También se enfatiza la necesidad de evaluar los riesgos cuando se permite acceso externo y aplicar controles específicos.
El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.
Este documento introduce el tema de los Sistemas de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma UNE-ISO/IEC 27001. Explica que un SGSI es un sistema para proteger la información de una organización mediante el manejo de riesgos y la implementación de controles de seguridad. También resume los pasos clave para establecer un SGSI, incluyendo definir el alcance, política de seguridad, análisis de riesgos y selección de controles, de acuerdo con los requisitos
Este documento describe los requisitos para establecer un sistema de gestión de seguridad de la información de acuerdo con la norma UNE-ISO/IEC 27002. Incluye la necesidad de realizar un análisis de riesgos, seleccionar controles, documentar políticas y procedimientos, realizar auditorías internas y revisiones por la dirección, e implementar acciones correctivas y preventivas para la mejora continua.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
Sistema de gestión de la seguridad de la informacionDarwin Calix
El documento describe los elementos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI ayuda a establecer políticas y procedimientos para mantener un nivel de riesgo aceptable mediante un enfoque sistemático y documentado. Detalla los componentes clave de un SGSI como el manual de seguridad, procedimientos, registros y la importancia de la evaluación y gestión de riesgos. Además, explica el papel fundamental de la dirección en la implement
El documento presenta el Sistema de Gestión de Seguridad de la Información que se está implementando en el Ministerio de Hacienda de acuerdo a estándares internacionales. Explica que la seguridad de la información busca preservar la confidencialidad, integridad y disponibilidad de los datos. También describe la estructura y proceso de desarrollo del sistema, así como los roles de las diferentes unidades y la documentación requerida. Finalmente, solicita la colaboración de las direcciones en la designación de encargados de seguridad y en la difus
Este documento resume los estándares ISO 27001 e ISO 27002 relacionados con la gestión de seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. ISO 27002 describe objetivos de control y buenas prácticas de seguridad en doce secciones. La implementación de ISO 27001 requiere un proyecto de 6 a 12 meses para evaluar riesgos, seleccionar controles y documentar el sistema.
Este documento introduce los conceptos clave de la norma ISO27001 sobre gestión de la seguridad de la información. Explica los tres aspectos de la seguridad de la información (confidencialidad, integridad y disponibilidad), el proceso de evaluación de riesgos, y los principales controles definidos en la norma agrupados en seis categorías. También describe brevemente el proceso de certificación ISO27001, que incluye una auditoría externa para demostrar el cumplimiento de la organización con los requisitos de la norma.
La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información efectivo. Cubre la implementación de políticas y objetivos de seguridad, evaluación y tratamiento de riesgos, gestión de activos, controles de seguridad, auditoría y revisión. La norma se basa en el ciclo PDCA de planificación, implementación, verificación y acción para mejora continua. ISO 27002 proporciona recomendaciones de buenas prácticas para la gestión de seguridad de la información en áreas como
Sistema de gestión de la seguridad de la informacióncarolapd
Un SGSI es un sistema para gestionar la seguridad de la información de una organización de forma sistemática y documentada. Incluye establecer una política de seguridad, evaluar riesgos, tratar los riesgos identificados, y documentos como procedimientos, registros e informes. Se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acción continua para mantener y mejorar continuamente la seguridad de la información.
Auditoria de seguridad y salud en el trabajoYanet Caldas
Este documento proporciona una introducción a las auditorías de seguridad y salud en el trabajo. Explica que una auditoría es un procedimiento sistemático e independiente para evaluar un sistema de gestión de seguridad y salud. Los objetivos de una auditoría incluyen determinar si el sistema se ha implementado correctamente, verificar la eficacia de la política y objetivos de la organización, y proponer medidas preventivas y correctivas. Además, describe los pasos clave de una auditoría como la revisión de documentación, trabajo de campo y emisión de un informe
Auditoria de salud y seguridad ocupacional (1)SENA810561
Este documento presenta un resumen de una auditoría de salud y seguridad ocupacional realizada por un equipo de 4 personas. Explica brevemente los conceptos generales de una auditoría y cómo evalúa el sistema de gestión de seguridad y salud en cada proceso y actividad de los empleados para minimizar riesgos. También describe el sistema de gestión de seguridad y salud OHSAS 18001 y sus evidencias de implementación para reducir riesgos en el lugar de trabajo y mejorar el desempeño ambiental de una organización.
Las auditorías de seguridad son una herramienta para evaluar el cumplimiento de los procedimientos, normas y reglamentaciones de seguridad. El proceso de auditoría incluye una revisión administrativa y operativa para detectar desviaciones, así como también proponer mejoras. El informe final documenta los hallazgos y establece un plan de acciones correctivas para corregir deficiencias y lograr un mejoramiento continuo.
Este documento resume los principales elementos de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI es un sistema gerencial basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización. Describe las cuatro fases principales de un SGSI: Planificar, Hacer, Revisar y Actuar.
Este documento define una auditoría de seguridad y describe sus parámetros clave. Explica que una auditoría de seguridad es un examen sistemático de una planta para verificar la suficiencia de su programa de seguridad y salud. Luego describe objetivos, principios, alcance, frecuencia, criterios de auditoría y contenido de una auditoría de seguridad. El contenido incluye elementos como liderazgo, análisis de riesgos, investigación de accidentes, capacitación y equipos de protección personal.
Este documento describe los principales componentes de un Sistema de Gestión de Seguridad de la Información (SGSI) según la Norma UNE-ISO/IEC 27001. Explica que un SGSI utiliza el ciclo PDCA y requiere documentos como una política de seguridad, un inventario de activos, un análisis de riesgos y documentación sobre los controles de seguridad. También requiere el compromiso de la dirección, formación para el personal, auditorías internas y la mejora continua del sistema.
Este documento proporciona una introducción al estándar ISO 27001 para la seguridad de la información. Explica que la norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre la evolución de la norma, el proceso de implementación, la certificación, otros estándares relacionados con la seguridad de la información, y los beneficios de la certificación ISO 27001.
El documento establece lineamientos generales sobre gestión de información y seguridad de la información. Define términos clave como activo, control, riesgo y políticas. Explica la importancia de evaluar riesgos, seleccionar controles, establecer una política de seguridad de información y asignar responsabilidades. También cubre temas como grupos externos, confidencialidad, contacto con autoridades y revisión gerencial.
Auditoria de Sistemas Informacion como un activo.peponlondon
El documento habla sobre la información, la seguridad de la información y los sistemas de gestión de seguridad de la información. Define la información y la seguridad de la información, y explica que un sistema de gestión de seguridad de la información es importante para proteger la confidencialidad, integridad y disponibilidad de la información de una organización. También describe los pasos clave para establecer un sistema de gestión de seguridad de la información efectivo.
El documento describe los estándares ISO 27001 para sistemas de gestión de seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. La certificación ISO 27001 demuestra el compromiso de una organización con la protección de la información y puede proporcionar ventajas competitivas.
El documento proporciona lineamientos para gestionar los riesgos relacionados con grupos externos que tienen acceso a la información y sistemas de una organización. Se recomienda identificar los riesgos y aplicar controles antes de otorgar acceso externo. También se enfatiza la necesidad de evaluar los riesgos cuando se permite acceso externo y aplicar controles específicos.
El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.
Este documento introduce el tema de los Sistemas de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma UNE-ISO/IEC 27001. Explica que un SGSI es un sistema para proteger la información de una organización mediante el manejo de riesgos y la implementación de controles de seguridad. También resume los pasos clave para establecer un SGSI, incluyendo definir el alcance, política de seguridad, análisis de riesgos y selección de controles, de acuerdo con los requisitos
Este documento describe los requisitos para establecer un sistema de gestión de seguridad de la información de acuerdo con la norma UNE-ISO/IEC 27002. Incluye la necesidad de realizar un análisis de riesgos, seleccionar controles, documentar políticas y procedimientos, realizar auditorías internas y revisiones por la dirección, e implementar acciones correctivas y preventivas para la mejora continua.
Este documento introduce el tema de los Sistemas de Gestión de Seguridad de la Información (SGSI) y explica su importancia para proteger la información de una organización. Define un SGSI como un sistema para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. Explica que un SGSI efectivo requiere documentación, un enfoque basado en riesgos, y el uso del ciclo de mejora continua PDCA para establecer y gestionar el sistema de manera estructur
El documento proporciona una introducción a la Norma UNE-ISO/IEC 27001 sobre sistemas de gestión de seguridad de la información. Define un sistema de gestión de seguridad de la información y explica sus requisitos generales como la responsabilidad de la dirección, auditorías internas, revisión por la dirección y mejora continua. También cubre el establecimiento y gestión del sistema, incluyendo análisis de riesgos, selección de controles, documentación y requisitos de revisión.
El documento describe la norma ISO 27001, la cual define los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información dentro de una organización. La norma incluye requisitos para realizar análisis de riesgos, implementar controles de seguridad, y realizar auditorías y revisiones periódicas. La norma también requiere documentación como una política de seguridad, procedimientos, registros de auditoría y más. Siguiendo los requisitos de ISO 27001, una organización puede obtener una certificación
La norma UNE-ISO/IEC 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. Un SGSI efectivo incluye políticas, procedimientos, controles y otros procesos para asegurar la confidencialidad, integridad y disponibilidad de la información de una organización. La norma también requiere auditorías internas periódicas, revisión por la dirección y acciones correctivas para mejorar continuamente el SGSI.
La norma UNE-ISO/IEC 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. Un SGSI efectivo incluye políticas, procedimientos, controles y otros procesos para asegurar la confidencialidad, integridad y disponibilidad de la información de una organización. La norma también requiere auditorías internas periódicas, revisión por la dirección y acciones para mejorar continuamente el SGSI.
La norma UNE-ISO/IEC 27001 especifica los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de seguridad de la información. Un SGSI efectivo requiere documentación, análisis de riesgos, selección e implementación de controles, auditorías internas, revisión por la dirección, y mejora continua.
Este documento describe el proceso de auditoría de certificación de sistemas de gestión de seguridad de la información. Explica que el objetivo de la auditoría es verificar que la organización ha implantado correctamente los controles de seguridad basados en un análisis de riesgos y de acuerdo con las normas ISO/IEC 27001 y ISO/IEC 17799. El proceso de auditoría consta de dos fases, una auditoría documental para revisar la documentación del sistema, y una auditoría in situ para comprobar la implementación práctica.
Este documento presenta una guía para la implementación exitosa de ISO 27001. Explica que la planeación incluye el desarrollo de consultores, la administración del proyecto, la integración de sistemas de gestión y la identificación de responsabilidades. Recomienda un enfoque estructurado que incluye planear, hacer, verificar y actuar, con pasos como definir el alcance, realizar una evaluación de riesgos y seleccionar controles. También enfatiza la importancia de integrar con sistemas de seguridad existentes y
La Norma UNE-ISO/IEC 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un enfoque de gestión de riesgos. Un SGSI ayuda a las organizaciones a definir políticas y procedimientos para mantener la confidencialidad, integridad y disponibilidad de la información. La norma utiliza el ciclo PDCA de mejora continua y requiere documentación como una política de seguridad, evaluaciones de riesgos, planes de tratamiento de riesgos y registros.
Sistema de gestión de la seguridad de la informacióncarolapd
Un SGSI es un sistema para gestionar la seguridad de la información de una organización de forma sistemática y documentada. Incluye establecer una política de seguridad, evaluar riesgos, tratar los riesgos identificados, y documentos como procedimientos, registros e informes. Se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acción.
La norma ISO 27001 define los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. Establece los controles de seguridad que deben aplicarse a una organización y el proceso de implementación, que incluye fases de planificación, implementación, revisión y mantenimiento. La norma ayuda a las organizaciones a proteger la información a través de un enfoque de gestión de riesgos sistemático.
Un sistema de gestión de la seguridad de la información (SGSI) ayuda a crear, implementar, supervisar y mejorar la seguridad de la información mediante el uso de políticas, planes, asignación de tareas, procedimientos y un ciclo de mejora continua. La norma ISO/IEC 27001 especifica los requisitos de un SGSI efectivo.
Un sistema de gestión de la seguridad de la información (SGSI) ayuda a crear, implementar, supervisar y mejorar la seguridad de la información mediante el uso de políticas, planes, asignación de tareas, procedimientos y un ciclo de mejora continua. La norma ISO/IEC 27001 especifica los requisitos de un SGSI efectivo.
Un sistema de gestión de la seguridad de la información (SGSI) ayuda a crear, implementar, supervisar y mejorar la seguridad de la información mediante el uso de políticas, planes, asignación de tareas, procedimientos y un ciclo de mejora continua. La norma ISO/IEC 27001 especifica los requisitos de un SGSI efectivo.
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
Un SGSI es un sistema para gestionar la seguridad de la información de una organización siguiendo el ciclo PDCA. La norma ISO 27001 especifica los requisitos para crear, implementar, supervisar y mejorar un SGSI documentado. Un SGSI ayuda a preservar la confidencialidad, integridad y disponibilidad de la información de una organización mediante la identificación y gestión de riesgos.
El SGSI (Sistema de Gestión de la Seguridad de la Información) sirve para crear, implementar, revisar, mantener y mejorar la seguridad de la información de una organización mediante un enfoque basado en la gestión de riesgos. Se implementa en fases que incluyen la planificación, ejecución, verificación y acción. La normativa clave es la ISO/IEC 27001, que especifica los requisitos para establecer e implementar un SGSI efectivo según el ciclo de mejora continua.
La norma UNE-ISO/IEC 27001 especifica los requisitos para la creación, implementación, supervisión y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) en una organización, el cual incluye procesos para gestionar la seguridad de la información siguiendo el ciclo Plan-Do-Check-Act y asegurando la confidencialidad, integridad y disponibilidad de los activos de información. La norma requiere compromiso de la dirección, auditorías internas, revisiones periódicas y mejor
El documento presenta un resumen ejecutivo del plan de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001 para la empresa Textilera S.A. El plan consta de 6 fases: 1) definir la situación actual, 2) establecer la documentación del SGSI, 3) realizar un análisis de riesgos, 4) proponer proyectos, 5) auditar el cumplimiento de ISO 27001, y 6) presentar resultados.
Similar a JACHV(UNAH-VS)-COMPRENDER iso 27001 (20)
mi sector es muy tranquilo
los vecinos siempre colaboran , lo que mas me gusta de mi sector es el parque salazar, la iglesia el huerto de Dios donde congrego y el complejo deportivo de manco capac
Modelos de Teclados ergonómicos y Pantallas táctiles.pptxambargarc7
En el mundo de la tecnología interactiva en rápida evolución, los teclados ergonómicos y los monitores de pantalla táctil están a la vanguardia y revolucionan la forma en que interactuamos con los teclados y los dispositivos digitales haciendo para una mejor experiencia posible en la vida cotidiana.
Unidad Central de Procesamiento (CPU): El Procesadorcastilloaldair788
El presente documento contiene información acerca del Unidad Central de procesamiento: Definición, historia, funcionamiento, arquitectura, fabricantes.
2. Introducción
La seguridad no es el resultado de un proceso, es un proceso en si mismo. Se
conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione
y progrese adecuadamente.
No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se
adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener
y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha,
comprobar que se obtienen los resultados esperados y, en función de esa evaluación,
tomar acciones para corregir las desviaciones detectadas o intentar mejorar la
situación, en este caso, la seguridad de la información. Y todo ello de una manera
ordenada y metódica, mediante un proceso.
3. 2.1. Requisitos generales del sistema de
gestión de la seguridad
Una organización necesita identificar y administrar cualquier tipo de actividad para
funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada
para transformar entradas en salidas, puede ser considerada como un “proceso”. A
menudo, estas salidas son aprovechadas nuevamente como entradas, generando una
realimentación.
Los requisitos que exige este estándar internacional son genéricos y aplicables a la
totalidad de las organizaciones, independientemente de su tamaño o sector de
actividad. En particular, no se acepta la exclusión de los requerimientos especificados
en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con
esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la
norma:
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorias internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.
4. Lo que la norma reclama es que exista un sistema documentado (política, análisis
de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se
implique en el desarrollo y gestión del sistema.
El sistema constara de una documentación en varios niveles:
• Políticas, que proporcionan las guías generales de actuación en cada caso.
• Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas
previstas.
• Registros, que son las evidencias de que se han llevado a cabo las actuaciones
establecidas.
5. 2.2. Establecimiento y gestión del SGSI
Establecimiento del SGSI
La norma establece una serie de requisitos, que
se detallan a continuación. Para satisfacerlos, la
organización debe buscar los medios mas
apropiados
a sus circunstancias, necesidades y, por
supuesto, los recursos disponibles.
Los requisitos en muchos casos no se
encuentran definidos. La organización sabe, en
términos generales, que nivel de seguridad
desea, pero no existen mecanismos para
expresarlo y documentarlo. Hay que concretar
esas necesidades que se perciben para poder
comenzar el diseño del SGSI. Sabiendo que se
necesita se podrán proponer opciones y tomar
decisiones.
6. Cuando una empresa decide adaptarse a esta norma , básicamente
se emprenderán las actividades que se detallan a continuación, y que como
tienen que ser documentadas, al finalizarlas, el SGSI contara ya con los siguientes
documentos:
• Política de seguridad, que contendrá las directrices generales a las que se
ajustara la organización en cuanto a seguridad, así como la estrategia a seguir
a la hora de establecer objetivos y líneas de actuación. La política estará alineada
con el resto de los objetivos del negocio y políticas de gestión que
existan en la organización. Esta política estará aprobada por la dirección.
• Inventario de activos, que detallara los activos dentro del alcance del SGSI,
así como los propietarios y la valoración de tales activos.
• Análisis de riesgos, con los riesgos identificados basándose en la política de
la organización sobre seguridad de la información y el grado de seguridad
requerido.
• Las decisiones de la dirección respecto a los riesgos identificados, asi como
la aprobación de los riesgos residuales.
• Documento de aplicabilidad con la relación de los controles que son aplicables
para conseguir el nivel de riesgo residual aprobado por la dirección.
7.
8. 2- Definición del alcance del SGSI
Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la
entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar
organización. Normalmente es mas practico limitar el alcance del SGSI a aquellos servicios, departamentos o
procesos en los que resulte mas sencillo, bien porque el esfuerzo va a ser menor o porque la visibilidad del
proyecto (interna o externa) es mayor
3-Definición de la política de seguridad
Decidir que criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que
confidencialidad, la integridad y la disponibilidad queden garantizadas. Aunque a veces son difíciles de
documentar, es esencial que el SGSI este alineado con el resto de las estrategias, planes y modos de funcionar
la organización para que pueda integrarse en el día a día sin complicaciones y rindiendo resultados desde el
principio.
4-Identificación de los activos de información
Se deben identificar junto con sus responsables. El SGSI va a proteger los activos
que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que
cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero si es
indispensable identificar que activos son los que soportan los procesos de la organización.
5-Definición del enfoque del análisis de riesgos
Hay que decidir como se enfocara el análisis de riesgos. El análisis de riesgos determinara las amenazas y
vulnerabilidades de los activos de información previamente inventariados. Esta tarea es crucial para el correcto
diseño del SGSI, puesto que de su resultado depende que se escojan unos controles u otros, que son los que
conformaran nuestro sistema.
6-Cómo escoger la metodología del análisis de riesgos
Puesto que la norma únicamente establece que los resultados han de ser comparables
y repetibles, debe escogerse aquella metodología que mejor se adapte a los
modos de trabajo de la organización, así el ejercicio se integrara sin problemas en
el trabajo cotidiano. Además, ayuda a que los resultados sean mas aceptables por la
organización y a que se pueda mantener en el tiempo. En particular es necesario
documentar en esta fase:
• La política de seguridad, que además debe aprobarse por la dirección.
• La metodología a seguir para realizar el análisis de riesgos.
9. 7-Tratamiento de los riesgos
Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si
lo son, hay que evaluar como se van a tratar esos riesgos:
• Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles
que disminuyan el riesgo hasta un nivel aceptable.
• Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien
porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. La dirección debe
que los activos con un valor de riesgo inferior no estarán sometidos a controles
que mitiguen el riesgo.
• Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el
servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece siempre en manos de la
organización y tener en cuenta que hay danos, como los causados a la reputación de la organización, que
difícilmente son cubiertos por ningún seguro.
• Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso.
8-Selección de controles
La selección de controles es un punto critico del SGSI. A la hora de escoger o rechazar un control se debe
considerar hasta que punto ese control va a ayudara reducir el riesgo que hay y cual va a ser el coste de su
implementación y mantenimiento.
9-Gestión de riesgos
Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas
seguridad implementadas y aquellas elegidas para hacerlo.
10-Declaración de aplicabilidad
El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad,
que debe incluir:
• Los objetivos de control y los controles seleccionados, con las razones de esta selección.
• Los objetivos de control y los controles actualmente implementados, con una justificación.
• La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación
dicha exclusión.
10. 11-Implementación y puesta en marcha del SGSI
Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada
en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la
organización, en cualquier caso se ha de contar con la designación de:
• Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Actuara como
de todos los aspectos de seguridad de la organización y sus responsabilidades cubrirán todas las funciones de
seguridad.
• Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos
interdisciplinarios y apruebe directrices y normas.
12-Control y revisión del SGSI
La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el
SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
13-Mantenimiento y mejora del SGSI
La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo
Por lo tanto, seria un grave error considerar que una vez analizados los riesgos y definidas las medidas para
reducirlos se haya terminado el trabajo.
Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento
incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones
correctivas y preventivas donde sea apropiado.
11. 2.3. Requisitos de documentación
1-Generalidades
El SGSI debe contar con la documentación necesaria que justifique las decisiones
de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que
los controles seleccionados lo han sido como resultado de estas decisiones y del
análisis de riesgos.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los
objetivos.
• Los registros requeridos por la norma.
2-Control de documentos
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos
procedimientos de control de documentación, de revisión y de registro (informes, auditorias, cambios,
autorizaciones de acceso, permisos temporales, bajas, etc.).
Los procedimientos de documentación deben contemplar como se generan, aprueban, revisan y actualizan los
documentos según sea necesario.
12. 3-Control de registros
Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con
ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes
auditorias y los logs de los sistemas.
Los registros estarán protegidos y controlados teniendo en cuenta cualquier requisito de tipo legal, reglamentario
obligación contractual. Permanecerán legibles, fácilmente identificables y recuperables. Los controles necesarios
para la identificación, almacenamiento, protección, recuperación, tiempo de conservación y disposición de los
registros se encontraran documentados e implementados.
Deberán guardarse todos los registros del funcionamiento del proceso y las incidencias
de seguridad significativas relacionadas con el SGSI.
13. 2.4. Compromiso de la dirección
Uno de los requisitos fundamentales para poner en marcha un SGSI es contar
con el compromiso de la dirección, no solo por ser uno de los epígrafes contemplados
en la norma, sino porque el cambio de cultura y concienciación que genera el proceso
seria imposible de sobrellevar sin el compromiso constante de la dirección.
La forma en la que se plasma este compromiso es colaborando o ejecutando, según los
casos, las siguientes tareas:
• Establecer la política del SGSI.
• Asegurar que se establecen los objetivos y planes del SGSI.
• Asignar los roles y las responsabilidades para la seguridad de la información.
• Comunicar a la organización la conveniencia del cumplimiento de los objetivos de
seguridad de la información y, conforme a la política de seguridad
de la información, sus responsabilidades legales y la necesidad de la mejora
continua.
• Proporcionar recursos suficientes para implementar, mantener y mejorar
el SGSI.
• Decidir los criterios de aceptación de los riesgos.
• Verificar que se realizan las auditorias internas del SGSI.
• Dirigir la gestión de las revisiones del SGSI.
14. 2.5. Gestión de los recursos
Como se comentaba anteriormente, es la dirección la que debe gestionar los
recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento
del SGSI en función de lo que se estime necesario para establecer, implementar, poner
en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI.
Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y
la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI
solo puede lograrse comprobando regularmente que los procedimientos de seguridad
están alineados con el negocio, que cumplen con los requisitos legales, que los
controles están correctamente implementados y que se llevan a cabo las acciones
oportunas para corregir errores y mejorar el sistema.
Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del
personal es muy difícil implementar con éxito un SGSI.
15. 2.6. Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias. Esto significa que
hay que definir las competencias necesarias y, en función de tales necesidades,
proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas
(por ejemplo, la contratación de personal competente).
En la medida que seamos capaces de formar al personal y concienciarlo de que es
fundamental ceñirse a las normas de seguridad, reduciremos drásticamente la
probabilidad de fallos y su potencial impacto.
16. 2.7. Auditorías internas
Una de las herramientas mas interesantes para controlar el funcionamiento del
SGSI son las auditorias internas. Estas auditorias deben programarse y prepararse
regularmente, normalmente una vez al ano. Esta programación se recogerá en el plan de
auditorias.
A la hora de desarrollar el plan de auditorias hay que fijarse en:
• El estado e importancia de los procesos y las áreas que serán auditadas, de
este modo se determinara el tiempo y los recursos que habrá que destinar
para efectuar la auditoria.
• Los criterios de la auditoria.
• El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (solo una parte).
• La frecuencia de realización de las auditorias, sabiendo que cada tres anos, al
menos, toda la organización debe ser auditada.
• Los métodos que se van a utilizar para hacer las auditorias.
17. 2.8. Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia,
adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no
debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y
de los auditores, sino que debería ser una parte integral del proceso de gestión del
negocio de la organización.
Esta revisión es una de las pocas tareas que se le asigna específicamente a la dirección,
por lo que posee relevancia en varios aspectos: mantiene a la dirección en contacto con
la realidad del SGSI, ya que lógicamente no se encuentra involucrada en el día a día, pero
es importante que este al tanto de los trabajos realizados, de los logros obtenidos
y de los problemas que aparezcan.
18. 1-Entradas a la revisión
Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar
la dirección en la gestión del sistema y apoyar las acciones de mejora.
Las entradas a la revisión pueden ser:
• Los resultados de las auditorias y las revisiones del SGSI.
• Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes, etc.).
• Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el
funcionamiento y la efectividad del SGSI.
• El estado de las acciones preventivas y correctivas.
• Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos anteriores.
• Los resultados de las métricas de efectividad.
• Las acciones de seguimiento de anteriores revisiones por la dirección.
• Cualquier cambio que pudiera afectar al SGSI.
• Recomendaciones para la mejora.
2-Salidas de la revisión
Los resultados de la revisión pueden ser de varios tipos:
• Identificación de acciones para mejorar la efectividad del SGSI.
• Actualización de la evaluación y la gestión de riesgos.
• Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a
incidentes o cambios en:
– Requisitos de negocio, de seguridad o legales.
– Procesos de negocio que tengan efecto en los requisitos de negocio existentes.
– Obligaciones contractuales.
– Niveles de riesgo y/o criterios para aceptar los riesgos.
– Necesidades de recursos.
• Realización de mejoras en la manera de medir la efectividad de los controles.
19. 2.9. Mejora continua
La mejora continua es una actividad recurrente para incrementar la capacidad a la hora
de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se
identifican oportunidades de mejora es continuo.
Es un punto fundamental en cualquier sistema de gestión según las normas ISO.
Este concepto también es crucial en todos los modelos de mejora de procesos o
negocio que existen. En pura lógica, cualquier organización desea hacer las cosas cada
vez mejor (mejores productos, mas baratos, en menos tiempo, mayores beneficios), por
lo que la mejora continua es un concepto empresarial de primer orden.
20. 1-Acción correctiva
La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa
cualquiera de los requisitos del sistema de gestión de seguridad de la información.
Localizado el problema debe determinarse la relación causa-efecto, considerando todas las causas posibles. A
veces no es fácil dilucidar cuales son las causas exactas del problema, pero hay que intentar aproximarse lo
posible.
2-Acción preventiva
Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades.
Son acciones encaminadas a eliminar la causa de una posible no conformidad.
Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorias internas o
externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que
pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.
21. 2.10. El anexo A
El anexo A contiene los 133 controles considerados como las mejores practicas en
seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002.
A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el
punto de partida para la selección de controles. Es decir, cuando se esta desarrollando
el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de chequeo para
decidir si procede o no aplicar cada uno de los controles. El resultado de este chequeo
se documentara en el documento de aplicabilidad.