Norma NTC-ISO 27005

 Norma NTC-ISO 27005



Es una norma que forma el sistema especializado de normalización mundial, sus organismos nacionales son miembros de ISO o de IEC donde participan  a través de comités de la organización para tratar campos particulares de actividad técnica.

 La norma ISO/IEC 27005 fue elaborada por el Comité Técnico conjunto ISO/IEC JTC 1 TEcnologia de la informacióny Subcomité SC 27  Técnicas de seguridad en la tecnología de la información. 

Esta Norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización y da soporte particular a los requisitos de un sistema de gestión de seguridad  de la información (SGSI) de acuerdo con la norma ISO/IEC 27001.


Sus definiciones referentes a esta norma son:


Impacto: Es el cambio adversoo en el nivel de los objetivos  que a logrado el negocio.

Riesgo en la seguridad de la información: Amenaza que explota la vulnerabilidad de un activo o grupo de activo causandole daño a la organización.

Evitacion del Riesgo: Decisión de no involucrarse en una situacion de riesgo.

Comunicación del Riesgo: Aviso de la información acerca del riesgo entre la persona que toma la desición u otras interesadas.

Estimación del Riesgo: Asignación de valores a la probabilidad y consecuencias de un riesgo.

Identificación del Riesgo: Es la accion que se toma para disminuir la probabilidad, consecuencias negativas o ambas asociadas con un riesgo.

Retención del Riesgo: Aceptación de la pérdida o ganacia que proviene de un riesgo particular.

Transferencia del riesgo: Compartir con otra de las partes la pérdida o ganacia de un riesgo.


Esta norma esta estructurada  donde contiene la descripcion de los procesos para la gestión del riesgo en la seguridad de la información y sus actividades 


Numeral 5: Se proporciona la información general.

Numeral 6: Se suministra una visión general de los procesos de gestión del riesgo y todas las actividades para la gestión del riesgo en la seguridad de la información.

Numeral 7: Establece el contexto  (Numeral 6)

Numeral 8: Evaluación del riesgo  (Numeral 6) 

Numeral 9: Tratamiento del riesgo (Numeral 6)

Numeral 10: Aceptación del riesgo (Numeral 6)

Numeral 11: Comunicación del riesgo (Numeral 6)

Numeral 12: Monitoreo y revisión del riesgo. (Numeral 6)  


Esta Norma tambien tiene ANEXOS se pueden apreciar de la siguiente manera:


ANEXO A: Define el alcance y los límites del proceso de gestión del riesgo en la seguridad de la información.

ANEXO B: Identificación y valoración de los activos y evaluación del impacto.

ANEXO C: Ejemplos de amenazas comunes. 

ANEXO D: Vulnerabilidades y Métodos para la evaluación de la vulnerabilidad.

ANEXO E: Enfoques para la evaluación de riesgo en la seguridad de la información.

ANEXO F: Restricciones para la reducción de riesgos. 





Comentarios

Publicar un comentario

Entradas populares de este blog

Metodologias para Analisis de Riesgo

Imagen
 Metodologias para Analisis de Riesgo  MAGERIT Version 3 Objetivos: Identificar los activos que componen el sistema, determinando sus caracteristicas, atributos y clasificacion en los tipos determinados.  Metodo de analisis  MAR.1 - Caracterizacion de los activos MAR.11- Identificacion de los activos  MAR.12- Dependencia entre activos MAR.13- Valoracion de los activos MAR.2-Caracterizacion de las amenazas MAR.21-Identificacion de las amenazas  MAR.22-Valoracion de las amenazas MAR.3-Caracterizacion de las salvaguardas  MAR.31-Identificacion de las salvaguardas pertinentes  MAR.32-Valoracion de las salvaguardas  MAR.4-Estimacion del estado de riesgo MAR.41-Estimacion del impacto MAR.42 -Estimacion del riesgo UNE-ISO 28000 Especificacion para los sistemas de gestion de la seguridad para la cadena de suministro  ESCENARIOS DE RIESGO   Descripcion del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activos, recursos y salvaguardas, se tiene en cuenta determi
Leer más

UNIDAD 1 - Preguntas sobre la idea de investigación

Imagen
Preguntas sobre la idea de investigación Formule y responda 5 preguntas referentes al contenido del video L a Idea de Investigación SOLUCION ¿Cuáles son los seis pasos que se deben considerar para plantear la Idea de Investigación? R/: Debe ser una idea que motive personalmente y vaya acorde a las capacidades que uno tenga. Esta Idea de Investigación debe ser relevante y que pueda tener aporte a la sociedad. Su temática debe estar relacionada con el perfil personal que uno disponga. Se debe realizar una consulta académica acerca de temas relacionados con la Idea de Investigación que escogió. Se investiga con profundidad temas referentes a la Idea de Investigación y se delimita el tema que se va a realizar Se procede a redactar adecuadamente el título de Investigación. ¿Qué es Solución o Aporte Relevante? R/: Solución o Aporte relevante es un término que proporciona mejoras o soluciones a una entidad privada o pública por medio de la tecnología, de los diagnósticos, de la conducta
Leer más

UNIDAD 2 - La hipótesis de investigación

Imagen
La hipótesis de investigación   ¿Qué características debe tener una hipótesis? La hipótesis relativa a alguna variable del comportamiento gerencial (motivación del investigador) deberá someterse a prueba en una situación real. Algunas veces la hipótesis se hace explicita esa realidad y otras veces la realidad se define por medio de explicaciones que acompañan a la hipótesis. Cuando la hipótesis proviene de una teoría o una generalización empírica al probarse nuestra hipótesis contextualizada aportamos evidencia en favor de la hipótesis más general.  Deben ser comprensible, precisos y concretos, las variables y términos de la hipótesis de lo contrario no tendrían cabida y serian imprecisos y terminan sustituyéndose por otras más específicos y concretos.       La hipótesis debe tener una relación clara y verosímil(lógica) con las variables propuestas.  Los términos de la hipótesis deben ser observables y medibles y tener una relación entre frente a la realidad.  La hipótesis también debe
Leer más