SlideShare una empresa de Scribd logo

Primer Dominio ISO 27002

Alex Díaz
Alex Díaz

Este documento proporciona una guía para el desarrollo de una política de seguridad de la información. Explica que la política debe ser aprobada por la dirección y comunicada a todos los empleados. Además, la política debe revisarse periódicamente para garantizar que siga siendo adecuada y efectiva. El documento también ofrece recomendaciones sobre el contenido que debe incluir la política, como los objetivos de seguridad, las responsabilidades de los empleados y las referencias a otras políticas y procedimientos relacionados.

1 de 13
Descargar para leer sin conexión
Primer Dominio POLÍTICA DE SEGURIDAD Gestión de Seguridad Informática Chicaiza Jami Paola Díaz Villafuerte Alex
Política de seguridad de la información  Objetivo:  Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
Política de seguridad de la información  Principios:  La Dirección debería establecer una política clara y en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información mediante la publicación y mantenimiento de una política de seguridad de la información para toda la organización
Política de seguridad de la información  ¿Qué hacer?:  Piense en términos de un manual o wiki de políticas de seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.  Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.  La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección
Política de seguridad de la información  Cobertura de la política: porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.  Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto- evaluación)
Controles  Documento de política de seguridad de la información  La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes.  Revisión de la política de seguridad de la información  La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se produzcan cambios significativos)para garantizar que es adecuada, eficaz y suficiente.
Contenido del Documento  Una definición de la seguridad de información y sus objetivos globales y el alcance y su importancia como un mecanismo que permite compartir información.  El objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la información.  Una estructura para el establecimiento de los objetivos de control y controles, incluida la estructura de la valoración del riesgo y el manejo de riesgos.
Contenido del Documento  Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.  Una definición de las responsabilidades generales y específicas en materia de la gestión de seguridad de información, incluida el reporte de las incidencias de seguridad.  Las referencias a documentación que pueda sustentar la política, ejemplo: políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas que los usuarios deberían cumplir.
Referencias  CNI: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.  PSSI: Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.  ARCERT: Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Referencias  UCISA: Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS- 7799:2002.  dmoz.org: Conjunto de políticas de seguridad variadas.  Infosecwriters: Creación de políticas de seguridad para Pymes.  SANS Policies: Conjunto de plantillas de políticas de seguridad del SANS Institute.  SANS whitepapers: Guía de desarrollo de una política de seguridad de la información.
Referencias  DTI: Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.  DTI: Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.  NIST: Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.  TBS: Política de Seguridad del Gobierno de Canadá.
Referencias  ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.  CCCURE: Guía de creación de una política de seguridad.  Notice bored: Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.  Senado: Normativa de uso de sistemas de información del Senado español.
GRACIAS

Recomendados

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
Silvia Nevarez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
jonnyceballos
 

Recomendados

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
Silvia Nevarez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
jonnyceballos
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000Pedhro Acuario
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
FabiolaGumucio
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
indeson12
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
Brayan A. Sanchez
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
Jhon Jairo Hernandez
 

Más contenido relacionado

La actualidad más candente

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
FabiolaGumucio
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
indeson12
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
Brayan A. Sanchez
 

La actualidad más candente (20)

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 

Similar a Primer Dominio ISO 27002

Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
Jhon Jairo Hernandez
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
Angelica Lopera
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicaspaola_yanina
 
Trabajo de computacion
Trabajo de computacionTrabajo de computacion
Trabajo de computacion
Estebinho
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
lizardods
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionJesus Ponce
 
Tarea moncayo tunala
Tarea moncayo tunalaTarea moncayo tunala
Tarea moncayo tunala
Ronnie Moncayo
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
GeGuMe
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Trabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaTrabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valencia
Milton VAlencia
 
Punteros
PunterosPunteros
Punteros
marcosmendozap
 

Similar a Primer Dominio ISO 27002 (20)

Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 
Trabajo de computacion
Trabajo de computacionTrabajo de computacion
Trabajo de computacion
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
 
Tarea moncayo tunala
Tarea moncayo tunalaTarea moncayo tunala
Tarea moncayo tunala
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Trabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaTrabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valencia
 
Punteros
PunterosPunteros
Punteros
 

Primer Dominio ISO 27002

  • 1. Primer Dominio POLÍTICA DE SEGURIDAD Gestión de Seguridad Informática Chicaiza Jami Paola Díaz Villafuerte Alex
  • 2. Política de seguridad de la información  Objetivo:  Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
  • 3. Política de seguridad de la información  Principios:  La Dirección debería establecer una política clara y en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información mediante la publicación y mantenimiento de una política de seguridad de la información para toda la organización
  • 4. Política de seguridad de la información  ¿Qué hacer?:  Piense en términos de un manual o wiki de políticas de seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.  Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.  La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección
  • 5. Política de seguridad de la información  Cobertura de la política: porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.  Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto- evaluación)
  • 6. Controles  Documento de política de seguridad de la información  La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes.  Revisión de la política de seguridad de la información  La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se produzcan cambios significativos)para garantizar que es adecuada, eficaz y suficiente.
  • 7. Contenido del Documento  Una definición de la seguridad de información y sus objetivos globales y el alcance y su importancia como un mecanismo que permite compartir información.  El objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la información.  Una estructura para el establecimiento de los objetivos de control y controles, incluida la estructura de la valoración del riesgo y el manejo de riesgos.
  • 8. Contenido del Documento  Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.  Una definición de las responsabilidades generales y específicas en materia de la gestión de seguridad de información, incluida el reporte de las incidencias de seguridad.  Las referencias a documentación que pueda sustentar la política, ejemplo: políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas que los usuarios deberían cumplir.
  • 9. Referencias  CNI: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.  PSSI: Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.  ARCERT: Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
  • 10. Referencias  UCISA: Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS- 7799:2002.  dmoz.org: Conjunto de políticas de seguridad variadas.  Infosecwriters: Creación de políticas de seguridad para Pymes.  SANS Policies: Conjunto de plantillas de políticas de seguridad del SANS Institute.  SANS whitepapers: Guía de desarrollo de una política de seguridad de la información.
  • 11. Referencias  DTI: Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.  DTI: Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.  NIST: Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.  TBS: Política de Seguridad del Gobierno de Canadá.
  • 12. Referencias  ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.  CCCURE: Guía de creación de una política de seguridad.  Notice bored: Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.  Senado: Normativa de uso de sistemas de información del Senado español.