05521nam a22001937a 4500 OSt 20240508173154.0 220504b |||||||| |||| 00| 0 eng d 978-958-778-470-1 B-ISTTENA ES Cómo implantar un SGSI según ISO/IEC Luis Gómez Fernández 1ra Ed. Alfaomega Colombia 2018 162 P. 27 cm Agradecimientos. Introducción. 1. Los Sistemas de Gestión de la Seguridad de la Información (SGSI). 1.1. Definición de un SGSI 1.2. El ciclo de mejora continua. 1.3. Lo Norma ISO/IEC 27001:2017. 1.3.1. Novedades en la última versión de la norma 1.3.2. Objeto y campo de aplicación de la norma.. 1.4. La Norma ISO/IEC 27002:2017. 1.4.1. Objeto y campo de aplicación 2. Requisitos de la Norma ISO/IEC 27001 2.1. Contexto de la organización. 2.1.1. Sistema de de la seguridad de la información 2.1.2. Conocer la organización. 2.1.3. Definición del alcance del SGSI. 2.2. Establecimiento y gestión del SGSI. 2.2.1. Liderazgo 2.2.2. Planificación. 2.2.3. Soporte 2.2.4. Operación. 2.2.5. Evaluación y desempeño 2.2.6. Mejora 2.2.7. El anexo A de la norma. 3. Recomendaciones de la Norma ISO/IEC 27002 3.1. Politicas de seguridad de la información 3.2. Organización de la seguridad de la información 6. Como implantar un SGSI según ISO/IEC 27001 y su aplicación en el ENS 3.3. Seguridad relativa a los recursos humanos. 3.4. Gestión de activos 3.5. Control de acceso 3.6. Criptografía. 3.7. Seguridad física y del entorno. 3.8. Seguridad de las operaciones. 3.9. Seguridad de las comunicaciones 3.10. Adquisición, desarrollo y mantenimiento de los sistemas de información. 3.11. Relación con proveedores. 3.12. Gestión de incidentes de seguridad de la información.. 3.13. Aspectos de seguridad de la información para la gestión de la continuidad del negocio 3.14. Cumplimiento 4. Definir e implementar un SGSI. 4.1. Fases del proyecto. 4.2. Documentación del SGS! . 4.3. Política de seguridad . 4.4. Evaluación de riesgos. 4.4.1. Elaboración del inventario de activos 4.4.2. Identificar y valorar amenazas 4.4.3. Calcular el impacto. 4.4.4. Calcular el riesgo 4.5. Identificar a los propietarios de los riesgos y tratamiento de los riesgos.. 4.6. Determinar las medidas de seguridad 4.7. Evaluar los riesgos residuales... 4.8. Plan de tratamiento del riesgo.. 4.9. Información documentada sobre procesos. 4.10. Formación y concienciación 4.11. Auditoría interna 4.12. Revisión por la dirección.. 4.13. Evidencias. 5. El proceso de certificación. 6. Relación entre los apartados de la norma y la información documentada del sistema.. 7. Caso práctico: modelo de SGSI 7.1. Contexto de la organización. 7.1.1. Presentación. 7.1.2. Estructura de la empresa 7.1.3 Aspectos técnicos 7.2. Documentación de la politica de seguridad 7.2.1. Politica de seguridad de la información. 7.2.2. Definición del SGSI 7.2.3. Marco organizativo de la seguridad de la información 7.2.4. Evaluación de riesgos de seguridad 7.3. El inventano de activos 7.3.1. Procesos de negocio 7.3.2. Inventario de activos 7.3.3. Relación proceso de negocio/activos 7.3.4. Valoración de activos 7.4. Resultados de la evaluación de riesgos 7.4.1. Identificación y valoración de amenazas 7.4.2. Cálculo del riesgo. 7.4.3. Tratamiento del riesgo 7.5. Determinar los controles y declaración de aplicabilidad 7.5.1. Declaración de aplicabilidad 7.6 Documentación de la gestión de riesgos 7.6.1. Valoración de amenazas tras la aplicación de medidas 7.6.2. Cálculo de riesgos residuales. 7.7. Documentación del plan de tratamiento del riesgo. 7.7.1. Objetivo 7.7.2. Alcance 7.7.3. Responsabilidades 7.7.4. Tareas 7.7.5. Seguimiento 7.7.6. Objetivos e indicadores. 7.8 Documentación del procedimiento de gestión de métricas de seguridad 7.8.1. Objetivo 7.8.2 Alcance 7.8.3. Responsabilidades. 7.8.4. Desarrollo. 7.8.5. Requisitos de documentación 7.8.6. Referencias 7.8.7. Anexos 7.9 Documentación del procedimiento de gestión de incidencias.... 7.9.1. Objetivo. 7.9.2. Alcance 8. Cómo implantar un SGSI según ISO/IEC 27001 y su aplicación en el ENS 7.9.3. Responsabilidades. 7.9.4. Desarrollo... 7.9.5. Requisitos de documentación 7.9.6. Referencias. 7.9.7. Anexos. 8. El Esquema Nacional de Seguridad (ENS) 8.1. Introducción al ENS. 8.2. Ámbito de aplicación del ENS. 8.2.1. Ambito subjetivo de aplicación 8.2.2. Ambito objetivo de aplicación 8.3. Conformidad con el ENS 8.3.1. Sector privado y Esquema Nacional de Seguridad 8.4. Beneficios del ENS 8.5. Plan de adecuación al ENS. 8.5.1. Politica de seguridad en el ENS 8.5.2. Categorización de los sistemas 8.5.3. Análisis de riesgos 8.5.4. Declaración de aplicabilidad 8.5.5. Insuficiencias del sistema 8.5.6. Plan de mejora de seguridad 8.6 Implantación del ENS 8.7. Auditoría del ENS. 8.8. Actualización del ENS.. 9. Cumplir con el ENS a través de un SGSI según ISO/IEC 27001. 9.1. Motivación . 9.2. Alcance. 9.3. Política de seguridad 9.4. Marco organizativo. 9.5. Dimensiones de la seguridad 9.6. Categorización y riesgos... 9.7. Catálogo de controles 9.8. Auditorías y certificación.... Bibliografía.. Sobre los autores.. Metodología de desarrollo de software B-ISTTENA BOOK 04/05/2022 J.R 04/05/2022 417 417 BISTT 2020-05-20 Donación ISTT-DS-0130 ISTT-DS-0130 Eje. 1/1 0.00 BOOK