Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about Scribd Membership Home Saved INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador Bestsellers Books Audiobooks Magazines NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC INEN-IS O/IEC 2700 27003:201 3:20111 NÚMERO DE REFERENCIA ISO/IEC 27003:2010(E) Podcasts Sheet Music Snapshots Documents TECNOLOGIA DE LA INFORMACIÓN – TECNICAS DE SEGURIDAD – GUIA DE IMPLEMENTACIÓN IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA L A INFORMACIÓN. Primera Edición INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — INFORMATION SECURITY MANAGEMENT – SYSTEM IMPLEMENTATION GUIDANCE. First Edition DESCRIPTORES: Tecnología de la información, grupos de caracteres y códigos de información, técnicas de seguridad, guía de implementación, sistema de gestión de la seguridad de la información. TI 01.01-301 CDU: 65.012.8 Much more thanCIIU: 8329 ICS: 35.040 documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Read Free For 30 Days Sign In CDU: 65.012.8 Learn more about ICS: 35.040 Scribd Membership Home Saved CIIU: 8329 TI 01.01-301 Contenido Página Prólogo...................................................................................................................................... iv Introducción.................................... Introducción...................................................................................................... .................................................................................................. ................................ v Bestsellers Books Audiobooks Magazines Podcasts Sheet Music 1 Alcance......................................................................................................................................1 2 Referencias normativas........................................................................................................... 1 3 Términos y definiciones definicion es........................................................................................................ 1 4 4.1 4.2 4.3 Estructura de esta Norma....................................................................................................... 2 Estructura general de las cláusulas 2 Estructura general de una cláusula ..................................................................................... 3 Diagramas ............................................................................................................................... 4 …................ ................................. ................................ 5 Obtención de aprobación aprobación de la Dirección para iniciar un proyecto proyecto de SGSI SGSI ………….... ………….... 5.1 Perspectiva general de la obtención de de aprobación de la Dirección para para iniciar un proyecto de SGSI ... 5.2 Aclarar las prioridades prioridades de la organización para desarrollar un SGSI SGSI ................................ ................................ 5.3 Definir el alcance alcance preliminar del SGSI ...............................................................................… 5.4 Crear el caso de negocio y el plan del proyecto para aprobación de la Dirección…..… 5 6 9 11 6 Definir el alcance del SGSI, límites límites y políticas políticas del SGSI ………........................................... ………........................................... 6.1 Perspectiva general de la definición del alcance, límites y políticas del SGSI ................. 6.2 Definir el alcance y límites organizacionales…................................................................... organizacionales…................................................................... 6.3 Definir el alcance y límites de las Tecnologías de la Información y Comunicación (TIC) 6.4 Definir el alcance alca nce y límites físicos físic os .......................................................................................... ........................................................................................ 6.5 Integrar cada alcance alcance y límites para obtener obtener el alcance y límites del SGSI……… …… . 6.6 Desarrollarla política del SGSI y obtener la aprobación de la Dirección………................. Dirección………................... 12 12 15 16 17 18 19 7 Realizar el análisis de los requerimientos de seguridad de la información................. ….. 7.1 Perspectiva general de la realización del análisis de los requerimientos de 20 seguridad de la información……...................................................................................... información……...................................................................................... 20 21 23 23 ………………………………………………………………………………………… Snapshots Documents …… … … … . . 7.2 Definir los requerimientos de seguridad de la información para el proceso del SGSI … 7.3 Identificar los activos dentro del alcance del SGSI ……………………..………………….... 7.4 Realizar una evaluación de la seguridad de la información……………………………….... 8 Realizar la evaluación del riesgo y la planificación del tratamiento del riesgo……….…… 8.1 Perspectiva general de la realización de la evaluación del riesgo y la planificación del 5 25 25 27 28 8.4 Obtener autorización autorización de la Dirección para implementar implementar y operar operar un un SGSI........................ SGSI........................ 29 tratamiento del riesgo………………………………… riesgo……………………………………………………………… ………………………………………………… …………………… 8.2 Realizarla evaluación del riesgo………………………….……………………..………….…….. riesgo………………………….……………………..………….…….. 8.3 Seleccionar los objetivos de control y los controles………..………………………………… 9 Diseño del SGSI… SGSI…..........................................................................................................................30 9.1 Perspectiva general del diseño del SGSI… SGSI ….............................................................................. 30 9.2 Diseñar Diseñar la seguridad seguridad de la información organizacional........................................................ organizacional........................................................ 33 9.3 Diseñar la seguridad de la información de las TIC y física ………………..…………….…. 38 9.4 Diseñar Diseñar la seguridad seguridad de la información específica del SGSI............................................... SGSI................................................. 40 9.5 Producir del plan final del proyecto del SGSI ........................................................................ 44 Anexo A (informativo) Descripción del listado de verificación.......................................... verificación.................................................... .......... 45 Anexo B (informativo) Funciones y responsabilidades de la seguridad de la información… Much more than documents. Discover everything Scribd 49 Anexo C (informativo) Información relativa a la Auditoría Auditoría Interna.............................. Interna.............................................. ................ 53 Documents Technology & Engineering Search CDU: 65.012.8 Learn more about ICS: 35.040 Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Much more than documents. Discover everything Scribd Upload EN Sign In Read Free For 30 Days CIIU: 8329 TI 01.01-301 Anexo D (informativo) Estructura de las políticas........................................ políticas..................................................................... ............................. 55 Anexo E (informativo) Monitoreo y medición….......................................................................... medición….......................................................................... 60 Bibliografía...................................................... Bibliografía......................................................................................................................... .............................................................................. ........... 66 Apéndice Z …………………………… ………………………………………………………… …………………………………………………………… …………………………………….. …….. 67 Documents Technology & Engineering Search CDU: 65.012.8 Learn more about ICS: 35.040 Scribd Membership Home Saved Bestsellers Books Audiobooks Upload EN Sign In Read Free For 30 Days CIIU: 8329 TI 01.01-301 Prólogo Magazines Podcasts Sheet Music Snapshots Documents ISO (la Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional) conforman el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas Internacionales a través de comités conformados por la respectiva organización para manejar los campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y nogubernamentales, en coordinación con ISO e IEC, ta m b i é n p a r t i c i p a n e n e l t r a b a j o . En el c am p o de la te c no lo gí a de la in f or m a c ió n , ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales son emitidas de acuerdo con las regulaciones constantes en el Instructivo ISO/IEC, Parte 2. La tarea principal del comité conjunto es preparar las Normas Internacionales. El Borrador de las Normas Internacionales adoptadas por el comité técnico conjunto se lo circula entre los organismos nacionales para someterlo a votación. La publicación como Norma Internacional requiere de la aprobación de al menos el 75% de los organismos nacionales que emiten un voto. Se llama la atención a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no serán responsables por la identificación de alguno o todos aquellos derechos de patente. La Norma ISO/IEC 27003 fue preparada por el Comité Técnico Conjunto de Tecnología de la Información, ISO/IEC JTC 1, Subcomité SC 27, IT Security techniques. NOTA DEL INEN: La NTE INEN-ISO/IEC 27003:2011 es idéntica a la norma ISO/IEC 27003 de 2010. Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In CDU: 65.012.8 Learn more about ICS: 35.040 Scribd Membership Home Saved Read Free For 30 Days CIIU: 8329 TI 01.01-301 Introducción Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents La finalidad de esta Norma Internacional es proveer una guía práctica en el desarrollo del plan de implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) dentro de una organización de acuerdo con la Norma NTE INEN -ISO/IEC 27001. La implementación real de un SGSI se ejecuta generalmente como un proyecto. El proceso descrito dentro de esta Norma Internacional ha sido diseñado para proveer soporte a la implementación de la NTE INEN ISO/IEC 27001; (partes relevantes de las Cláusulas 4, 5, y 7) y documenta: a) la preparación para iniciar un plan de implementación de un SGSI en una organizac ión, la definición de la estructura organizacional para el proyecto, y la obtención de la respectiva aprobación por parte de la Dirección, b) las actividades críticas del proyecto del SGSI y, c) ejemplos para lograr los requerimientos de la Norma NTE INEN-ISO/IEC 27001. Mediante el uso de esta Norma, la organización será capaz de desarrollar un proceso para la gestión de la seguridad de la información, proveyendo a los interesados la seguridad de que los riesgos de los activos de información se mantengan permanentemente dentro de límites aceptables de seguridad de la información definidos por parte de la organización. Esta Norma no cubre las actividades operacionales y otras actividades del SGSI, pero sí cubre los conceptos sobre cómo diseñar las actividades que resultarán después de que las operaciones del SGSI comiencen. El concepto resulta en el plan final de implementación del proyecto del SGSI. La ejecución efectiva de la parte organizacional específica de un proyecto de SGSI está fuera del alcance de esta Norma. La implementación del proyecto de SGSI debería ser realizado utilizando metodologías estandarizadas para gestión de proyectos (para mayor información, favor ver las Normas ISO e ISO/IEC y NTE INEN que tratan la gestión de proyectos). Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In CDU: 65.012.8 Learn more about ICS: 35.040 Scribd Membership Norma Técnica Ecuatoriana Home Saved n Bestsellers ó i c c u d o Books rp e r a l a Audiobooks id b i h o r P Magazines – r o d a u Podcastsc -E o ti u Sheet Music Q – o r g a Snapshots m l A y 9 Documents -2 8 E o n e r o M o z ri e u q a B Read Free For 30 Days CIIU: 8329 TI 01.01-301 TECNOLOGÍA DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD — GUÍA DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN NTE INENISO/IEC 27003:2011 1 Objeto Esta Norma se enfoca en los aspectos críticos requeridos para el diseño e implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo con la NTE INEN ISO/IEC 27001. Esta describe el proceso de especificaciones del SGSI y el diseño desde el inicio hasta la producción de planes de implementación. Esta describe el proceso para obtener la aprobación de parte de la Dirección para implementar un SGSI, define un proyecto para implementar un SGSI (referido en esta Norma como el proyecto de SGSI), y provee guías respecto a cómo planificar un proyecto de SGSI, que resulte en un plan final de implementación del proyecto de SGSI. Esta Norma tiene el propósito de ser usada por las organizaciones que se encuentren implementando un SGSI. Es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias de gobierno, organizaciones sin fines de lucro) de todos los tamaños. La complejidad de cada organización y riesgos son únicos, y sus necesidades específicas son las que conducirán la implementación del SGSI. Las organizaciones más pequeñas encontrarán que las actividades contenidas en esta Norma son aplicables a ellas y pueden ser simplificadas. Las organizaciones grandes o complejas pueden encontrar que una organización o sistema de gestión estratificado se requiere para manejar las actividades de esta Norma de forma efectiva. No obstante lo anterior, en ambos casos, las actividades relevantes pueden planificarse mediante la aplicación de esta Norma. Esta Norma provee recomendacion es y explicaciones ; ésta no especifica requisitos. Esta Norma tiene el propósito de ser utilizada en conjunto con las Normas NTE INEN ISO/IEC 27001 e NTE INEN ISO/IEC 27002, pero no tiene el propósito de modificar y/o reducir los requisitos especificados en la NTE INEN ISO/IEC 27001 o las recomendaciones provistas en la NTE INEN ISO/IEC 27002. N o e s a p r o p i a d o s o l i c i t a r c o n f o r m i d a d c o n e s t a N o r m a . – 9 9 9 -3 1 -0 7 1 a ll i s a C – N E N I , n ó i c a z il a m r o N e d o n a ri o t a u c E o t u ti t s n I 2 Referencias normativas Los siguientes documentos de referencia son indispensables para la aplicación de este documento. Para referencia con fecha, solamente la edición citada aplica. Para referencias que no cuentan con fecha, la última versión del documento de referencia aplic a. NTE INEN-ISO/IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Descripción general y vocabulario. NTE INEN-ISO/IEC 27001, Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de la seguridad de la información - Requisitos 3 Términos y definiciones Para los fines de este documento, los términos y definiciones dados en la Normas NTE INEN ISO/IEC 27000, NTE INEN ISO/IEC 27001, y los siguientes aplican. 3.1 Proyecto de SGSI Actividades estructuradas asumidas por una organización para implementar un SGSI (Continúa) Much more than DESCRIPTORES: Tecnología de la información, grupos de caracteres y códigos de información, técnicas de seguridad, guía documents. Discover everything Scribd de implementación, sistema de gestión de la seguridad de la información. Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home El cuadro superior ilustra las f ases de planificación de un proyecto de SGSI. La fase explicada en la cláusula específica es entonces enfatizada con sus documentos claves de salida. Saved El diagrama inferior (actividades de la fase) muestra las actividades claves que están incluidas en la fase enfatizada del cuadro superior, y los principales documentos de salida de cada actividad. Bestsellers El Plazo en el cuadro inferior se basa en la Plazo del cuadro superior. Books La Actividad A y la Actividad B pueden ejecutarse al mismo tiempo. La Actividad C debería iniciarse después de que se concluyan las Actividades A y B. Audiobooks 5 Obtención de aprobación de la Dirección para iniciar un proyecto de SGSI. Magazines 5.1 Perspectiva general de la obtención de aprobación de la Dirección para iniciar un proyecto de SGSI Podcasts Sheet Music Existen varios factores que deberían ser tomados en cuenta cuando se decida implementar un SGSI. Con el fin de tratar estos factores, la Dirección debería entender el caso de negocio de un proyecto de implementación de SGSI y aprobarlo, por lo tanto, el objetivo de esta fase es: Objetivo: Snapshots Documents Obtener aprobación de la Dirección para iniciar el proyecto de SGSI mediante la definición de un caso de negocio y el plan del proyecto. Para obtener la aprobación de la Dirección, una organización debería crear un caso de negocio, que incluya las prioridades y objetivos, para implementar un SGSI, además de la estructura de la organización para el SGSI. También, se debe crear el plan inicial del proyecto de SGSI. El trabajo realizado en esta fase hará posible que la organización entienda la importancia de un SGSI, y aclara las funciones y responsabilidades de seguridad de la información dentro de la organización que requiere un proyecto de SGSI. La salida esperada de esta fase será la aprobación preliminar, y el compromiso, por parte de la Dirección para implementar un SGSI y ejecutar las actividades descritas en esta Norma. Los entregables de esta cláusula incluyen un caso de negocio y un borrador del plan del proyecto de SGSI con hitos claves. La Figura 3 ilustra el proceso para obtener aprobación de la Dirección para iniciar el proyecto de SGSI. NOTA La salida de la Cláusula 5 (El compromiso documentado de la Dirección para planificar e implementar un SGSI) y un o d e l as sa li da s d e l a C lá us ul a 7 (Resumen documentado del estado de la seguridad de la información) no son requerimientos de la NTE INEN-ISO/IEC 27001. Sin embargo, los resultados de estas actividades son entradas recomendados para otras actividades descritas en este documento. Obtener aprobación Gerencia para iniciar proyecto ISMS 5 Definir alcance, limites y política ISMS 6 Realizar análisis requisitos seguridad información 7 Conducir evaluación riesgo y planificar tratamiento riesgos 8 Diseñar el ISMS 9 Aprobación gerencia iniciar proyecto ISMS Plazo Plazo Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Read Free For 30 Days Sign In Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Aclarar prioridades organización para desarrollar ISMS 5.2 Objetivos para un ISMS resumidos Lista restricciones legales contractuales y de industria pertinentes a seguridad información de o rganización Características negocio bosquejadas Definir alcance preliminar ISMS 5.3 Desarrollar alcance preliminar ISMS 5.3.1 Bosquejo características ne ocio Definir papeles y responsabilidades alcance preliminar ISMS 5.3.2 Descripción papeles y responsabilidades para implementar ISMS Crear caso negocio y plan de proyecto para manejo aprobación 5.4 Caso negocio Propuesta proyecto ISMS Figure 3 — Overview of obtaining management approval for initiating an SGSI project Aprobación de un proyecto ISMS Plazo Figura 3 — Perspectiva general para la obtención de aprobación para iniciar un proyecto de SGSI 5.2 Aclarar las prioridades de la organización para desarrollar un SGSI Actividad Los objetivos para implementar un SGSI deben incluirse tomando en consideración las prioridades y requerimientos de seguridad de la información de la organización. Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Entrada a) los objetivos estratégicos de la organización b) visión general de los sistemas de gestión existentes Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots c) una lista de requerimientos legales, regulatorios y contractuales respecto a la seguridad de la información aplicable a la organización Guía Con el fin de iniciar el proyecto de SGSI, en general, se necesita aprobación de la Dirección. Consecuentemente, la primera actividad que debería ser realizada es recopilar la información relevante que ilustre el valor de un SGSI para la organización. La organización debería aclarar por qué necesita un SGSI y decidir los objetivos de la implementación del SGSI e iniciar el proyecto de SGSI. Los objetivos para implementar un SGSI pueden determinarse respondiendo las siguientes preguntas: a) manejo de riesgos – ¿Cómo un SGSI generará mejor gestión de los riesgos de seguridad de la información? b) eficiencia – ¿Cómo puede un SGSI mejorar la gestión de la seguridad de la información? Documents c) ventaja para el negocio – ¿Cómo puede un SGSI crear ventaja competitiva para la organización? Con el fin de contestar las anteriores preguntas, las prioridades y requerimientos de seguridad de la organización están indicados por los siguientes factores posibles: a) negocios y áreas organizacionales críticas: 1. ¿Cuáles son los negocios y las áreas organizacionales críticas? 2. ¿Qué áreas organizacionales proveen al negocio y con qué enfoque? 3. ¿Qué relaciones y acuerdos con terceros existen? 4. ¿Existen servicios que hayan sido subcontratados? b) información sensible o valiosa: 1. ¿Qué información es crítica para la organización? 2. ¿Cuáles serían las posibles consecuencias si cierta información fuera revelada a personas no autorizadas (por ejemplo, pérdida de ventaja competitiva, daño a la marca o a la reputación, acción legal, etc.)? c) leyes que disponen medidas de seguridad de la información: 1. ¿Qué leyes relacionadas con el tratamiento de los riesgos o seguridad de la información aplican a la organización? 2. ¿Es la organización parte de una organización pública global a la que se le requiere contar con informes financieros externos? d) acuerdos contractuales u organizacionales relacionados con la seguridad de la información: 1. Much more than documents. Discover everything Scribd ¿Cuáles son los requerimientos de almacenamiento (incluyendo los períodos de retención) para almacenamiento de datos? 2. ¿Existen requerimientos contractuales relacionados con la privacidad o la calidad (por ejemplo, Acuerdos de Nivel de Servicio (Service Level Agreements - SLA)? Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership f) mapas de los sitios incluidos incluidos en el alcance, indicando las limitaciones físicas del SGSI. Home Saved g) descripciones de las funciones y responsabilidades dentro del SGSI y sus relaciones con la estructura organizacional h) detalles y justificación para cualquier exclusión del alcance del SGSI Bestsellers Otra información No existe otra información específica. Books Audiobooks Magazines Podcasts Sheet Music Actividad La política del SGSI debería ser desarrollada y la aprobación de la Dirección debería ser obtenida. Entrada 6.6 Desarrollar la política del SGSI y obtener la aprobación aprobación de la dirección dirección Snapshots Documents a) salida salida de de la Activ Activida idad d 6.5 Integrar cad a alcanc e y límit es para obtener el alcanc e y lím ites del SGSI – El alcance y los límites docum entados del SGSI b) salida de la Actividad 5.2 Aclarar las prioridades de la organización para desarrollar un SGSI – Los objetivos documentados para implementar el SGSI c) salida de la Actividad 5.4 Crear el caso de negocio y el plan del proyecto para aprobación de la Dirección – Los documentas de: 1. requerimientos de la organización y prioridades de la seguridad de la información, información, 2. el plan inicial inicial del proyecto proyecto para la implementaci implementación ón del SGSI, con co n hit h itos os,, tal t ales es como co mo la realización de la evaluación del riesgo, implementación, auditorías internas y revisión de la Dirección Guía Al def inir ini r la l a p olític olí tica a d el SGSI, se deberían tomar en cuenta los siguientes siguientes aspectos: a) establecer los objetivos del SGSI en base a los requerimientos organizacionales y las prioridades de seguridad de la información de la organización b) establecer el enfoque general y la guía de acción para lograr los objetivos del SGSI c) considerar los requerimientos de la organización, legales o regulatorios y las obligaciones contractuales relacionadas con la seguridad de la información d) el contexto de la gestión del riesgo dentro de la organización e) establecer los criterios de evaluación de de los riesgos (ver NTE INEN ISO/IEC 27005) y definir definir una estructura de evaluación del riesgo f) aclarar las responsabilidades responsabilidades de la alta Dirección en relación al SGSI h) obtener la aprobación de la Dirección. Dirección. Salida El entregable es un documento que describe la política del SGSI aprobada por la Dirección y debidamente documentada. Este documento debería ser re-confirmado en una fase posterior del proyecto por cuanto es dependiente del resultado de la evaluación del riesgo. Otra información Much more than La NTE INEN-ISO/IEC 27005 provee información inform ación adicional sobre los criterios para la evaluación de documents. Discover everything Scribd riesgos. Documents Technology & Engineering Search Upload EN Read Free For 30 Days Sign In Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home 7 Realizar el análisis de los requerimientos requerimientos de seguridad de la información Saved 7.1 Perspecti Perspectiva va general general de la realización del análisis an álisis de los requerimientos requeri mientos de seguridad de la información Bestsellers Books El análisis de la situación actual actual en la organización organización es importante, por cuanto hay requerimientos existentes y activos de información que deberían ser considerados cuando se implemente un SGSI. Las actividades descritas en esta fase pueden ser emprendidas en paralelo con aquellas descritas en la Cláusula 6 por razones de eficiencia y practicidad. Objetivos: Audiobooks Magazines Definir Definir los requeri requerimiento mientoss pertinentes pertinentes para para ser respald respaldados ados por por el SGSI, SGSI, id ent ificar ifi car los act ivos ivo s de información y obtener el estado actual de la seguridad seguridad de la información dentro del alcance. NTE INEN-ISO/IEC 27001 cláusulas 4.2.1.c)1) parcialmente, 4.2.1. d), 4.2.1. e) Podcasts Sheet Music Snapshots La información recopilada a través del análisis de la seguridad de la información debería: a) proveer a la Dirección de un punto de inicio (es decir, datos básicos correctos) b) identificar y documentar las condiciones condiciones para la implementación Documents c) proveer entendimiento claro y bien establecido de las instalaciones de la organización organización d) considerar las circunstancias particulares y la situación de la organización e) identificar el nivel de protección protección deseado de la información f) determinar la compilación de la información requerida para toda o parte de una empresa dentro del alcance de implementación propuesto. Obtener aprobación gerencia inicio proyecto ISMS ISMS 5 Aprobación gerencia para iniciar proyecto Definir alcance, limites y política ISMS 6 Análisis requisitos seguridad información 7 Alcance y limites del ISMS Requisitos seguridad de la Información Política ISMS Activos información Evaluación riesgo y planificación planificación tratamiento riesgo 8 Diseñar el ISMS 9 Resultados evaluación seguridad información Plazo Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Define requisitos seguridad información para proceso ISMS 7.2 Requisitos seguridad información Identificar activos dentro alcance y limites ISMS 7.3 Activos identificados clasificación procesos / activos activos Conducir evaluación seguridad información 7.4 Resumen estado seguridad de organización Plazo Figura 5 — Descripción general para ejecutar fase de requisitos de seguridad de la información 7.2 Definir los requerimientos requerimientos de seguridad de la información información para el proceso del SGSI Actividad Los requerimientos detallados de la seguridad de la información para el proceso del SGSI deberían ser analizados y definidos. Entrada a) salida de la Actividad 5.2 Aclarar las prioridades de la organización para desarrollar un SGSI – Los documentos: 1. que resumen los objetivos, prioridades de la seguridad seguridad de la información, y requerimientos de la organización para el SGSI Much more than documents. Discover everything Scribd 2. que listen las restricciones regulatorias, regulatorias, contractuales y de la la industria pertinentes a la la seguridad de la información de la organización Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home b) salida de la Actividad 6.5 Integrar cad a alcanc e y límit es para obtener el alcanc e y límites del SGSI – El alcance y los límites del SGSI Saved c) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener la aprobación d e l a D i r e c c i ó n – L a p o l í t i c a d e l SGSI Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Guía El primer paso requiere la recolección de toda la información de respaldo para el SGSI. Para cada proceso organizacional y tarea especializada, se necesita tomar una decisión en términos de qué tan crítica es la información, es decir, el nivel de protección requerido. Una variedad de condiciones internas podría afectar la seguridad de la información y estas deberían ser determinadas. En esta etapa temprana no es importante describir la tecnología de la información en detalle. Debería haber un resumen básico de la información analizada para un proceso organizacional y las aplicaciones y sistemas de TIC asociados. El análisis de los procesos de la organización provee sentencias acerca de los efectos de los incidentes de seguridad de la información en la actividad de la organización. En muchos casos, es adecuado trabajar con una descripción muy básica de los procesos de la organización. Los procesos, funciones, ubicaciones, sistemas de información y redes de comunicaciones necesitan ser identificados y documentados, si es que no han sido ya incluidos como parte del alcance del SGSI. Lo siguiente debería ser considerado para obtener los requerimientos detallados de la seguridad de la información para el SGSI: a) identificación preliminar de activos de información importantes y su protección actual de la seguridad de la información. b) identificar visiones de la organización y determinar el efecto de las visiones identificadas en futuros requerimientos de procesamiento de información c) analizar las formas actuales de procesamiento de la información, aplicaciones del sistema, redes de comunicación, ubicación de actividades y recursos de TI, etc. d) identificar todos los requerimientos esenciales (por ejemplo, requerimientos legales y norma tivos, obligaciones contractuales, requerimientos organizacionales, normas de la industria, acuerdos con clientes y proveedores, condiciones de aseguramiento, etc.) e) identificar el nivel de concientización sobre seguridad de la información y, desde ahí, derivar los requerimientos de capacitación y educación, en términos de cada unidad operativa y administrativa. Salida Los entregables de esta actividad son: a) identificación de los procesos, funciones, ubicaciones, sistemas de información y redes de comunicación principales b) identificación de los activos de información de la organización c) clasificación de los procesos/activos críticos d) requerimientos de seguridad de la información derivados de los requerimientos legales, regulatorios, y contractuales de la organización. e) lista de vulnerabilidades públicamente conocidas que serán consideradas como un resultado de los requerimientos de seguridad f) requisitos organizacionales de capacitación y educación sobre seguridad de la información Otra información Much more than No existe otra información específica. documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved 7.3 Identificar los activos dentro del alcance del SGSI Actividad Se deberían identificar los activos a ser respaldados por el SGSI. Bestsellers Entrada Books a) salida de la Actividad 6.5 Integrar cad a alcanc e y límit es para obtener el alcanc e y límites del SGSI – El alcance y los límites del SGSI Audiobooks b) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener la aprobación de la Dirección – La política del SGSI Magazines c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la información para el proceso del SGSI. Podcasts Guía Sheet Music Para identificar los activos dentro del alcance del SGSI la siguiente información debería ser identificada y enlistada: Snapshots Documents a) nombre único del proceso b) descripción del proceso y de las actividades relacionadas (creadas, almacenadas, transmitidas, eliminadas) c) ponderación del proceso para la organización (crítico, importante, de respaldo) d) propietario del proceso (unidad de la organización) e) procesos que proveen entradas y salidas de este proceso f) aplicaciones de TI que respaldan el proceso g) clasificación de la información (confidencialidad, integridad, disponibilidad, control de acceso, no repudio, y / u otras propiedades importantes para la organización, por ejemplo, por cuánto tiempo podría almacenarse la información) Salida Los entregables de esta actividad son: a) activos de información identificados de los principales procesos de la organización dentro del alcance del SGSI b) clasificación de la seguridad de la información de los procesos y activos de información críticos Otra información No existe otra información específica. 7.4 Realizar una evaluación de la seguridad de la información Actividad La evaluación de seguridad de la inform ación debería realizarse comparando el estado actual de la seguridad de la información de la organización con los objetivos deseados por la organización. Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Entrada Saved a) salida de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites del SGSI – El alcance y los límites del SGSI Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots b) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener aprobación de la D i r e c c i ó n – L a p o l í t i c a d e l SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la información para el proceso del SGSI d) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI Guía Documents La evaluación de la seguridad de la información es la actividad para identificar el nivel existente de seguridad de la información (es decir, los actuales procedimientos de la organización de manejo de la protección de la información). La finalidad fundamental de la evaluación de la seguridad de la información es proveer información que respalde la descripción requerida para el sistema de gestión, en la forma de políticas y las directrices. Obviamente, es necesario asegurarse que las deficiencias identificadas se las maneja en forma paralela mediante un plan de acción priorizado. Todas las partes involucradas deberían estar familiarizadas con los resultados del análisis de la organización, los documentos normativos, y tener acceso al personal de gestión pertinente. Las evaluaciones de la seguridad de la información analizan la situación actual de la organización y determinan el estado actual de la seguridad de la información y la vulnerabilidad de documentos, utilizando la siguiente información: a) estudiando hechos de fondo basados en procesos críticos b) clasificación de los activos de información c) requerimiento organizacional de seguridad de la información. Los resultados de la evaluación de la seguridad de la información, junto con los objetivos de la organización, son a menudo una parte importante del incentivo para trabajo futuro en seguridad de la información. La evaluación de la seguridad de la informaci ón debería ser realizada por un recurso interno o externo que sea independiente de la organización. La participación en la evaluación de la seguridad debería incluir a personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que sea pertinente en términos de seguridad de la información. Estas personas deberían ser seleccionadas para representar un amplio espectro dentro de la organización e incluir: a) gerentes de línea (por ejemplo, jefes de unidad de la organización) b) propietarios de proceso (es decir, quienes representen áreas importantes de la organización) c) otras personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que sea pertinente en términos de seguridad de la información. Por ejemplo, usuarios de procesos de negocio, y funciones operativas, administrativas y legales. Las siguientes acciones son importantes para una evaluación exitosa de la seguridad de la información: a) identificar y enlistar las normas pertinentes de la organización (por ejemplo, La NTE INENISO/IEC 27002). b) identificar requerimientos de control conocidos que surjan de las políticas, de los requerimientos legales y regulatorios, de las obligaciones contractuales, de los resultados de auditorías pasadas o de resultados de evaluaciones del riesgo realizadas en el pasado. Much more than c) utilizarlas como documentos de referencia con el fin de realizar una estimación aproximada de los documents. requerimientos actuales de la organización relativos a s u nivel de seguridad de la información. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Salida El entregable de esta actividad es un documento que resume: a) estructura de la organización, sus roles y responsabilidades Bestsellers Otra información Anexo B – Información sobre roles y responsabilidades Books Audiobooks Magazines Anexo C – Información sobre planificación de auditorías 9.2.2 Diseñar un marco referencial para la documentación del SGSI Actividad Podcasts Los registros y documentos en el SGSI deberían ser controlados mediante la identificación de los requerimientos y el marco referencial que permite cumplir con los requerimientos para el actual control de registros y documentos dentro del SGSI. Sheet Music Entrada Snapshots a) salida de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites del SGSI – El alcance y los límites del SGSI Documents b) definición del alcance y límites del SGSI c) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener aprobación de la Dirección – La política del SGSI d) salida de la Actividad 8.4 Obtener autorización de la Dirección para implementar y operar un SGSI. e) salida de la Actividad 9.2.1 Diseño de la estructura organizacional final para la seguridad de la información f) NTE INEN ISO/IEC 27002 Guía El diseño del registro del SGSI incluye las siguientes actividades: a) un marco referencial que describa los principios para documentar el SGSI, la estructura de los procedimientos para documentar el SGSI, los roles involucrados, formato de datos, y rutas de reportes para la Dirección b) diseño de los requerimientos de la documentación c) diseño de los requerimientos de registro La documentación del SGSI debería, incluir registros de las decisiones de la Dirección; asegurarse que las acciones son trazables a las decisiones y políticas de la Dirección y que los resultados registrados son reproducibles. Los documentos del SGSI deberían proveer la evidencia de que los controles son seleccionados en base a los resultados de la evaluación del riesgo y tratamiento del riesgo, y que tales procesos son implementados conjuntamente con la política y objetivos del SGSI. La documentación es esencial para la reproducción de los resultados y procedimientos. Al igual que para los controles seleccionados, el establecimiento y documentación de los procedimientos debería tener una referencia a la persona responsable de la parte real de la documentación. Much more than La documentación del SGSI debería incluir la documentación que se especifica en la cláusula 4.3.1 de documents. Discover everything Scribd la NTE INEN ISO/IEC 27001. Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Es necesario que los documentos del SGSI sean manejados y puestos a disposición del personal según sea requerido. Esto incluye lo siguiente: Saved a) establecer el procedimiento administrativo de gestión de documentos del SGSI b) una aprobación formal de los documentos para la adecuación previa a la emisión Bestsellers c) asegurar que los cambios y el estado de la revisión actual de los documentos estén identificados Books d) protección y control de los documentos como un activo de información de la organización Audiobooks Magazines Es importante que las versiones pertinentes de los documentos aplicables, estén disponibles en los puntos de uso, asegurándose que los documentos se mantengan legibles, fácilmente identificables, transferidos, almacenados y finalmente, dispuestos de acuerdo con los procedimientos aplicables para su clasificación. Adicionalmente, asegurar que los documentos de origen externo sean identificados, que la distribución de los documentos sea controlada, evitando el uso no intencionado de documentos obsoletos, y aplicar el seguimiento apropiado de ellos, si es que son retenidos con cualquier propósito. Podcasts Sheet Music Los registros deberían ser creados, mantenidos y controlados como evidencia de que el SGSI de la organización cumple con la NTE INEN ISO/IEC 27001, y para mostrar la efectividad de las operaciones. Snapshots Documents También se requiere mantener registros del estado de la implementación para toda la fase PHVA, al igual que registros de incidentes y eventos contra la seguridad de la información; registros de educación, capacitación, destrezas, experiencia y capacidades; auditorías internas del SGSI, acciones correctivas y preventivas, y registros organizacionales. Las siguientes tareas deberían ser realizadas para controlar los registros: a) documentar los controles requeridos para identificar, almacenar, proteger, buscar y descartar datos, y documentar la duración de su almacenamiento b) definir qué debería ser registrado, y en qué medida, dentro de los procesos operativos de gestión c) cuando un período de conservación sea especificado por las leyes o la legislación, el período de retención se debería establecer de conformidad con el requerimiento legal. Salida Los entregables de esta actividad son: a) un documento que resume los requerimientos para los registros del SGSI y el control de documentación b) depósitos y plantillas para los registros requeridos del SGSI Otra información No existe otra información específica. 9.2.3 Diseñar la política de seguridad de la información Actividad Se debería documentar la posición estratégica de la Dirección y de la Administración en cuanto a los objetivos de la seguridad de la información, con respecto de la operación del SGSI. Entrada a) salida de la Actividad 5.2 Aclarar las prioridades de la organización para desarrollar un SGSI – Los objetivos resumidos y la lista de requerimientos Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home b) salida de la actividad 5.4 Crear el caso de negocio y el plan del proyecto para aprobación de la Dirección – La aprobación inicial de la Dirección para el proyecto del SGSI Saved c) salida de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites del SGSI – El alcance y los límites del SGSI Bestsellers d) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener la aprobación de la Dirección – La política del SGSI Books e) salida de la actividad 7.2 Definir los requerimientos de seguridad de la información para el proceso del SGSI Audiobooks f) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI Magazines Podcasts Sheet Music Snapshots g) salida de la Actividad 7.4 Realizar una evaluación de la seguridad de la información h) salida de la Actividad 8.2 Realizar la evaluación del riesgo – Los resultados de la evaluación del riesgo de la salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles i) salida de la Actividad 9.2.1 Diseño de la estructura organizac ional final para la seguridad de la información j) salida de la Actividad 9.2.2 Diseñar un marco referencial para la documentación del SGSI k) NTE INEN ISO/IEC 27002 cláusula 5.1.1 Documents Guía La política de seguridad de la información docum enta la posición estratégica de la organización con respecto a los objetivos de la seguridad de la información en toda la organización La política es elaborada en base a la información y el conocimiento. Lo que ha sido identificado por la Dirección como importante en el análisis realizado previamente, debería hacerse evidente y enfatizarse en la política, con el fin de proveer incentivo y motivación en la organización. También es importante señalar lo que sucede si no se sigue la política. Los impactos legales y regulatorios que afectan la organización en cuestión, también deberían ser enfatizados. Ejemplos de una política de seguridad de la información pueden ser preparados a partir de literatura de referencia, el Internet, asociaciones de interés y asociaciones de la industria. Formulaciones y connotaciones pueden ser extraídas de informes anuales, de otras políticas o de otros documentos que la Dirección admita. Podría haber diferentes interpretaciones y requerimientos relativos al tamaño real de una política. Debería ser suficientemente resumida, de tal manera que el personal pueda entender la intención de la política. Adicionalmente, debería distinguir muy claramente los objetivos que son necesarios para tratar el grupo de regulaciones y objetivos de la organización. El tamaño y estructura de la política de seguridad de la información debería sustentar a los documentos que son usados en la siguiente etapa del proceso para introducir un sistema de gestión de la seguridad de la información (ver también el Anexo D – Información sobre estructura de la norma). Para organizaciones grandes y complejas (por ejemplo, con áreas operacionales muy diversas) podría ser necesario elaborar una norma general y varias normas subyacentes adaptadas a las operaciones. La guía sobre el contenido de una política de seguridad de la información se provee en la NTE INEN ISO/IEC 27002 cláusula 5.1.1. La política propuesta (con el número de versión y fecha) debería ser verificada y establecida dentro de la organización por el gerente de operaciones. A continuación del establecimiento dentro del grupo directivo o su equivalente, el gerente de operaciones aprueba la política de seguridad de la información. Ésta es luego comunicada a todas las personas en la organización de tal manera Much more than que sea pertinente, accesible y comprensible para sus lectores. documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots En este punto, es importante asegurarse de que todos los empleados dentro del alcance del SGSI reciban la capacitación y/o educación necesaria sobre seguridad. En organizaciones grandes, por lo general, un solo paquete de material no es suficiente, por cuanto contiene muchos datos que son pertinentes solamente a tipos de trabajo específicos; por lo tanto serán grandes, complejos y difíciles de usar. En estos casos, generalmente es apropiado contar con diferentes juegos de material de capacitación, diseñados para cada rol, tal como para personal de oficina, personal de TI o choferes, y que están hechos para sus necesidades específicas. Un programa de concientización, capacitación y educación sobre seguridad de la información debería asegurar que se generen los registros de esta capacitación y educación en seguridad. Estos registros deberían ser revisados regularmente para asegurarse que todo el personal ha recibido la capacitación que requiere. Un rol debería ser responsable de este proceso. Los materiales de capacitación sobre seguridad de la información deberían ser diseñados para que concuerden con otros materiales de capacitación utilizados por la organización, especialmente cursos de capacitación brindados a usuarios de los sistemas de TI. La capacitación en aspectos relevantes de la seguridad de la información debería idealmente estar integrada en cada uno de los cursos para los usuarios de TI. El material de capacitación sobre seguridad de la información debería contener, como mínimo, los siguientes puntos según sea apropiado para la audiencia objetivo: a) riesgos y amenazas relativos a la seguridad de la información b) términos básicos de seguridad de la información Documents c) definición clara de un incidente de seguridad: guía de cómo puede ser identificado y cómo debería ser manejado y reportado d) política de seguridad de la información, normas y procedimientos de la organización e) responsabilidades y canales de reporte relacionados con la seguridad de la información en la organización f) guía sobre la forma de ayudar a mejorar la seguridad de la información g) guía sobre incidentes de seguridad de la información y reporte h) dónde obtener información adicional. Se debería determinar un equipo de capacitación sobre seguridad de la información, el cual podría incluir las siguientes tareas: a) creación y manejo de registros de capacitación b) creación y manejo de materiales de capacitación c) realización de capacitación Estas tareas podrían ser asignadas utilizando el personal de capacitación existente. Pero el personal existente podría requerir entrenamiento sustancial en conceptos de seguridad de la información para asegurar que estos son expuestos de m anera efectiva y precisa. Un programa de concientización, capacitación y educación sobre seguridad de la información debería incluir un procedimiento para asegurar que los materiales de capacitación sean revisados y actualizados continuamente. Un rol debería ser designado explícitamente responsable de revisar y actualizar los materiales de capacitación. Salida Los entregables de esta actividad son: Much more than documents. Discover everything Scribd a) materiales de concientización, capacitación y educación sobre seguridad de la información Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home b) estructura para concientización, capacitación y educación sobre seguridad de la información, incluyendo roles y responsabilidades Saved c) planes para la concientización, educación y capacitación sobre seguridad de la información, Bestsellers d) registros reales que muestran los resultados de la concientización, educación y capacitación sobre seguridad de la información a los empleados Otra información Books Audiobooks Magazines Podcasts 9.5 Producir el plan final del proyecto del SGSI Actividad El plan de proyecto del SGSI debería ser finalizado incluyendo las actividades necesarias para implementar los controles seleccionados. Entrada Sheet Music Snapshots No existe otra información específica. Documents a) salida de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites del SGSI – El alcance y los límites del SGSI b) salida de la Actividad 6.6 Desarrollar la política del SGSI y obtener la aprobación de la Dirección – La política del SGSI c) salida de la Actividad 9.2 – Diseñar la Seguridad de la Información Organizacional d) salida de la Actividad 9.3 – Diseñar la Seguridad de la Información de las TIC y física e) salida de la Actividad 9.4 – Diseñar la Seguridad de la Información específica del SGSI f) NTE INEN ISO/IEC 27002 Guía Las actividades requeridas para implementar los controles seleccionados y llevar a cabo otras actividades relacionadas con el SGSI deberían ser formalizados en un plan de implementación detallado como parte del proyecto final del SGSI. El plan de implementación detallado también podría estar respaldado por descripciones de herramientas y métodos de la implementación propuestos. Por cuanto un proyecto de SGSI involucra muchos roles diferentes en la organización, es importante que las actividades sean claramente asignadas a las partes responsables, y que el plan sea comunicado tanto tempranamente en el proyecto, como en toda la organización. Al igual que con todos los proyectos, es esencial que la persona responsable se asegure que los recursos suficientes han sido asignados al proyecto. Salida El entregable de esta actividad es el plan final de implementación del proyecto del SGSI. Otra información No existe otra información específica Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Bestsellers Books Anexo A (informativo) Descripción del listado de verificación (checklist) Objeto: • • • proveer un listado de verificación de actividades requeridas para establecer e implementar un SGSI respaldar el monitoreo del progreso de la implementación de un SGSI mapear las actividades relacionadas con la implementación del SGSI, con los requisitos de la NTE INEN ISO/IEC 27001 Audiobooks Magazines Podcasts NTE INEN ISO/IEC 27003 Sheet Music Snapshots 5 Obtener 1. Aprobación de la Dirección para la implementación del 2. SGSI Documents Fase de Implementación Número Actividad, referencia NTE INEN ISO/IEC Paso Prede paso 27003 Requisito Salida Documentada Determinar los objetivos de negocio de la Ninguno compañía Lista de los objetivos de N/A negocio de la compañía Entender los existentes Descripción de los sistemas N/A de gestión existentes sistemas de gestión Ninguno 3. 5.2 Definir objetivos, ne ce si da de s de 1, 2 seguridad de la información, requerimientos del negocio para el SGSI Resumen de los objetivos, N/A necesidades y requerimientos del negocio para el SGSI 4. Recopilar normas regulatorias, de Ninguno cumplimiento, y de la industria pertinentes aplicables a la compañía Resumen de normas N/A regulatorias, de cumplimiento y de la industria que son aplicables a la compañía 5. 5.3 Definir el alcance preliminar del SGSI 3, 4 Descripción del alcance preliminar del SGSI (5.3.1) N/A Definición de los roles y responsabilidades en el SGSI (5.3.2) N/A N/A 6. 5.4 Crear el caso de negocio y el plan del 5 proyecto para aprobación de la Dirección Caso de negocio y el plan de proyecto propuesto 7. 5.5 Obtención de aprobación y6 compromiso de la Dirección para iniciar un proyecto para implementar un SGSI Aprobación de la Dirección N/A para iniciar un proyecto para implementar un SGSI 6 Definición del 8. alcance y política del SGSI 6.2 Definir límites organizacionales 7 Descripción de límites 4.2.1.a) organizacionales (parcialmente) • Funciones y estructura de la organización • intercambio de información a través de los límites • Procesos del negocio y las responsabilidades de los activos de información dentro y fuera del alcance • Much more than documents. Discover everything Scribd Referencia a la NTE INEN ISO/IEC 27001 Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Fase de Implementación Número Actividad, referencia NTE INEN ISO/IEC Paso Prede paso 27003 Requisito Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Referencia a la NTE INEN ISO/IEC 27001 NTE INEN ISO/IEC 27003 9. Salida Documentada 6.3 Definir los límites de las tecnologías7 de la información y comunicación Descripción de los límites de las TIC 4.2.1.a) (parcialmente) • Descripción de los sistemas de información y redes de telecomunicaciones que describen los aspectos internos y externos del alcance • 10. 6.4 Definir los límites físicos 7 Descripción de límites físicos del SGSI • los 4.2.1.a) (parcialmente) Descripción de la organización y sus características geográficas describiendo el alcance interno y externo Un documento que describe 4.2.1.a) el alcance y los límites del SGSI • Documents 7 Realizar el Análisis de la Organización 11. 6.5 Definir los límites del alcance del SGSI 8, 9, 10 12. 6.6 Desarrollar la política del SGSI 11 Política del SGSI aprobada 4.2.1.b) por la Dirección SGSI 13. 7.2 Definir requerimientos de seguridad de la información que respaldan el SGSI 12 Lista de los • principales procesos, funciones, ubicaciones, sistemas de información, redes de comunicación Requerimientos de la organización para la confidencialidad, disponibilidad e integridad Requerimientos de la organización de aspectos legales, normativos, contractuales y requerimientos de seguridad de la información del negocio N/A N/A 4.2.1.c) 1) Parcial mente Lista de vulnerabilidades 4.2.1.d) conocidas de la organización 3) 14. 15. 7.3 Identificar activos dentro del alcance del SGSI 7.4 Generar una evaluación seguridad de la información 13 de la 14 Descripción de los principales N/A procesos de la organización Identificación de los activos de información de los principales procesos de la organización 4.2.1.d) 1) Clasificación de los procesos/activos críticos N/A Documento del estado y 4.2.1.e) evaluación real de la seguridad 2) de la información de la Parcialorganización, incluyendo los mente controles de seguridad de la información existentes Documento de las deficiencias de la organización, valoradas y evaluadas. • • Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Fase de Implementación Número Actividad, referencia NTE INEN ISO/IEC Paso Prede paso 27003 Requisito Fase de Implementación Número Actividad, referencia NTE INEN ISO/IEC Paso Pre- Salida Documentada de paso 27003 Requisito 8 Realizar 16. Evaluación del Riesgo y Selección de las Opciones de Tratamiento del Riesgo 8.2 Realizar evaluación del riesgo 15 Salida Documentada Alcance de la evaluación del riesgo • Referencia a la NTE INEN ISO/IEC Referencia a la NTE INEN ISO/IEC 4.2.1.c) 1) Metodología de evaluación del riesgo aprobada, alineada con el contexto estratégico de gestión del riesgo de la organización • Criterios de aceptación del riesgo • 17. 8.3 Seleccionar los objetivos de control y 16 controles Evaluación documentada del 4.2.1.e) riesgo de alto nivel 3) partially; Identificar la necesidad de N/A una evaluación adicional más profunda del riesgo Evaluación profunda del 4.2.1.e) riesgo documentada 3) Parcialmente Resultados en conjunto de la N/A evaluación del riesgo 18. 8.4 Obtener aprobación de la Dirección 17 para implementar un SGSI Riesgos y sus opciones 4.2.1.f) identificadas para tratamiento del riesgo Objetivos de con-trol seleccionados y controles para reducción del riesgo 4.2.1.g) 19. Aprobación de la Dirección de riesgos residuales 18 Aprobación documentada de 4.2.1.h) la Dirección de los riesgos residuales propuestos (debería ser salida de 8.4) 20. Autorización de la administración para implementar y operar el SGSI 19 21. Preparar declaración de aplicabilidad 18 Autorización documentada 4.2.1.i) por la Dirección para implementar y operar un SGSI (debería ser salida de 8.4) Declaración de Aplicabilidad 4.2.1.j) 9 Diseño del SGSI 22. 9.2 Diseñar la seguridad organizacional 20 Estructura de la organización y sus roles y responsabilidades relacionados con la seguridad de la información Identificación de la documentación relacionada con el SGSIPlantillas de registros del SGSI e instrucciones para Documento de la política de seguridad de la información • 5.1.c) 4.3 • Línea base de las políticas y procedimientos de seguridad de la información (y si es aplicable, planes para el desarrollo de políticas, procedimientos específicos, etc.) Much more than documents. Discover everything Scribd NTE INEN ISO/IEC 27002; 5.1.1 Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home Saved APÉNDICE Z Z.1 DOCUMENTOS NORMATIVOS A CONSULTAR Norma Técnica Ecuatoriana NTE INEN-ISO 9001 Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Much more than documents. Discover everything Scribd Sistemas de gestión de la calidad. Requisitos Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 20000-1 Tecnología de la información. Gestión del servicio parte 1: Especificaciones (ISO/IEC 20000-1:2005) Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27001 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos Tecnologías de la Información — Técnicas Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27004 de Seguridad — Gestión de la Seguridad de la Información – Medición Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27005 Tecnología de la Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la Información Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27006 Tecnología de la información — Técnicas de Seguridad — Requisitos para organizaciones que proveen auditoría y certificación de sistemas de gestión de la seguridad de la información Sistemas de gestión ambiental – Requisitos Norma Técnica Ecuatoriana NTE INEN ISO 14001 con orientación para su uso ISO/IEC 15026 (all parts), Systems and software engineering — Systems and software assurance ISO/IEC 15408-1 — Information technology Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model ISO/IEC 15408-2 — Information technology Security techniques — Evaluation criteria for IT security — Part 2: Security functional components ISO/IEC 15408-3 Information technology Security — techniques — Evaluation criteria for IT security — Part 3: Security assurance components Information technology Security ISO/IEC TR 15443-1 — techniques — A framework for IT security assurance — Part 1: Description general and framework ISO/IEC TR 15443-2 — Information technology Security techniques — A framework for IT security assurance — Part 2: Assurance methods ISO/IEC TR 15443-3 — Information technology Security techniques — A framework for IT security assurance — Part 3: Analysis of assurance methods ISO/IEC 15939 Systems and software engineering — Measurement process Systems and software engineering — Life ISO/IEC 16085 cycle processes — Risk management ISO/IEC 16326 Systems and software engineering — Life cycle processes Project — management Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about NTE INEN-ISO/IEC 27003 Scribd Membership Home ISO/IEC 18045 Saved ISO/IEC TR 19791 Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Much more than documents. Discover everything Scribd ISO 21500 — Information technology Security techniques — Methodology for IT security evaluation Information technology Security — techniques — Security assessment of operational systems Project management — Guide to project management Z.2 BASES DE ESTUDIO Esta norma es una adopción de la norma ISO/IEC 27003:2010. Information technology — Security techniques — Information security management system implementation guidance . International Organization for Standardization ISO. Geneve, 2010. Documents Technology & Engineering Search Upload EN Sign In Read Free For 30 Days Learn more about Scribd Membership INFORMACIÓN COMPLEMENTARIA Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Documento: NTE INENISO/IEC 27003 TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN — TÉCNICAS Código: DE SEGURIDAD — GUÍA DE IMPLEMENTACIÓN DEL TI 01.01-301 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. ORIGINAL: REVISIÓN: Fecha de iniciación del estudio: Fecha de aprobación anterior del Directorio Oficialización con el Carácter de por Resolución No. de publicado en el Registro Oficial No. de Fecha de iniciación del estudio: Fechas de consulta pública: de a Subcomité Técnico: Tecnologías de la información Fecha de iniciación: Integrantes del Subcomité Técnico: Fecha de aprobación: NOMBRES: INSTITUCIÓN REPRESENTADA: Manuel Rodríguez (Presidente) Christian León Diego Ponce Efrén Cepeda Ramiro Pulgar Johan Garzón Karen Alvarado Paulina Carrera SUBSECRETARIA DE INFORMATICA BANCO ECUATORIANO DE LA VIVIENDA BANCO ECUATORIANO DE LA VIVIENDA BLUEHAT CONSULTORES BLUEHAT CONSULTORES CONATEL CONATEL CONSORCIO DE CONSEJOS PROVINCIALES DEL ECUADOR CONSORCIO DE CONSEJOS PROVINCIALES DEL ECUADOR CORPORACION ELECTRICA DEL ECUADOR CORPORACION ELECTRICA DEL ECUADOR CORPORACION FINANCIERA NACIONAL CORPORACION NACIONAL DE TELECOMUNICACIONES CORPORACION NACIONAL DE TELECOMUNICACIONES CORREOS DEL ECUADOR ECUADOR TURISTICO EXTERMO SOFTWARE HEWLETT PACKARD INSTITUTO DE ALTOS ESTUDIOS NACIONALES INSTITUTO ECUATORIANO DE CREDIT EDUCATIVO Y BECAS INSTITUTO ECUATORIANO DE CREDIT EDUCATIVO Y BECAS INSTITUTO NACIONAL DE PREINVERSION MINISTERIO DE FINANZAS MINISTERIO DE TELECOMUNICACIONES MINISTERIO DE TELECOMUNICACIONES ORGANISMO DE ACREDITACION ECUATORIANO ORGANISMO DE ACREDITACION ECUATORIANO REGISTRO CIVIL SECRETARIA NACIONAL DE PLANIFICACION Y DESARROLLO SERVICIO DE RENTAS INTERNAS SUPERINTENDENCIA DE TELECOMUNICACIONES SUPERINTENDENCIA DE TELECOMUNICACIONES UNIVERSIDAD TECNOLOGICA INSTITUTO ECUATORIANO DE NORMALIZACION Reinaldo Vélez Fernando Guerrero Rafael Melgarejo Tania Guevara Ana Yépez Yandry Castro Fabián Baez Rodolfo Espinosa Galo Garzon Bermeo Pablo Maldonado Heriberto Soto Diana Martínez Julio Bustamante Vilma Zapata Nubia Pazmiño Marco Javier jara Mario Hernán Pazmiño Alex Anchaluisa Marcelo Brugos Jaime Sáenz Gabriel Llumiquinga José Luis Carrasco Andrea Ruiz Benhur Escobar Wilson Largo Edgar Valenzuela V. (Secretario Técnico) Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No. Much more than documents. Discover everything Scribd Documents Technology & Engineering Search Learn more about Scribd Membership Home Saved Bestsellers Books Audiobooks Magazines Podcasts Sheet Music Snapshots Documents Much more than documents. Discover everything Scribd Upload EN Sign In Read Free For 30 Days
