Detalle del libro
Ver Índice
Introducción
Objeto de esta guía
1. Introducción a los Sistemas de Gestión de Seguridad de
la Información (SGSI)
1.1. Definición de un SGSI
1.2. El ciclo de mejora continua
1.3. La Norma UNE-ISO/IEC 27001
1.3.1. Origen de la norma
1.3.2. Objeto y campo de aplicación de la norma
1.4. La Norma ISO 27002
1.4.1. Origen
1.4.2. Objeto y campo de aplicación
1.5. Términos y definiciones
2. Comprender la Norma UNE-ISO/IEC 27001
2.1. Requisitos generales del sistema de gestión de la seguridad
2.2. Establecimiento y gestión del SGSI
2.2.1. Establecimiento del SGSI
2.2.2. Definición del alcance del SGSI
2.2.3. Definición de la política de seguridad
2.2.4. Identificación de los activos de información
2.2.5. Definición del enfoque del análisis de riesgos
2.2.6. Cómo escoger la metodología del análisis de riesgos
2.2.7. Tratamiento de los riesgos
2.2.8. Selección de controles
2.2.9. Gestión de riesgos
2.2.10. Declaración de aplicabilidad
2.2.11. Implementación y puesta en marcha del SGSI
2.2.12. Control y revisión del SGSI
2.2.13. Mantenimiento y mejora del SGSI
2.3. Requisitos de documentación
2.3.1. Generalidades
2.3.2. Control de documentos
2.3.3. Control de registros
2.4. Compromiso de la dirección
2.5. Gestión de los recursos
2.6. Formación
2.7. Auditorías internas
2.8. Revisión por la dirección
2.8.1. Entradas a la revisión
2.8.2. Salidas de la revisión
2.9. Mejora continua
2.9.1. Acción correctiva
2.9.2. Acción preventiva
2.10. El anexo A
3. Comprender la Norma ISO 27002
3.1. Valoración y tratamiento del riesgo
3.2. Política de seguridad
3.3. Organización de la seguridad
3.4. Gestión de los activos
3.5. Seguridad ligada a los recursos humanos
3.6. Seguridad física y ambiental
3.7. Gestión de las comunicaciones y las operaciones
3.8. Control de accesos
3.9. Adquisición, desarrollo y mantenimiento de los sistemas
3.10. Gestión de las incidencias
3.11. Gestión de la continuidad del negocio
3.12. Cumplimiento
4. Definición e implementación de un SGSI
4.1. El proyecto
4.2. Documentación del SGSI
4.3. Política de seguridad
4.4. Inventario de activos
4.5. Análisis de riesgos
4.6. Gestión de riesgos
4.7. Plan de seguridad
4.8. Procedimientos
4.9. Formación
4.10. Revisión por la dirección
4.11. Auditoría interna
4.12. Registros
5. Proceso de certificación
6. Relación entre los apartados de la norma y la documentación del sistema
7. Correspondencia entre las Normas UNE-EN ISO 9001:2000, UNE-EN ISO 14001:2004 y UNE-EN ISO 27001:2007
8. Ejemplo práctico
8.1. Documentación de la Política de seguridad
8.1.1. Declaración de la política de seguridad de la información
8.1.2. Definición del SGSI
8.1.3. Organización e infraestructura de seguridad
8.1.4. Clasificación de la información
8.1.5. Análisis de riesgos de seguridad
8.2. Documentación del Inventario de activos
8.2.1. Procesos de negocio
8.2.2. Inventario de activos
8.2.3. Relación proceso de negocio-activos
8.2.4. Valoración de activos
8.3. Documentación del Análisis de riesgos
8.3.1. Valoración del riesgo por activos
8.3.2. Tramitación del riesgo
8.4. Documentación de la Gestión de riesgos
8.4.1. Valoración del riesgo por activos
8.5. Documentación de la Declaración de aplicabilidad .
8.5.1. Controles aplicados
8.6. Documentación del Plan de tratamiento del riesgo
8.6.1. Objetivo
8.6.2. Alcance
8.6.3. Responsabilidades
8.6.4. Tareas
8.6.5. Seguimiento
8.6.6. Objetivos e indicadores
8.7. Documentación del Procedimiento de auditorías internas3
8.7.1. Objetivo
8.7.2. Alcance
8.7.3. Responsabilidades
8.7.4. Desarrollo
8.7.5. Requisitos de documentación
8.7.6. Referencias
8.7.7. Anexos
8.8. Documentación del Procedimiento para las copias de seguridad
8.8.1. Objetivo
8.8.2. Alcance
8.8.3. Responsabilidades
8.8.4. Términos y definiciones
8.8.5. Procedimiento
8.8.6. Requisitos de documentación
8.8.7. Referencias
8.8.8. Anexos
9. Bibliografía
Normas de referencia
Links de interés
Norma UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
Requisitos
Facilita la comprensión de todos los conceptos desarrollados en la norma UNE-ISO/IEC 27001:2007, con el fin de que las pymes puedan cumplir sus requisitos y, por tanto, controlar sus sistemas de información.
Con esta guía, cualquier pyme podrá diseñar un SGSI que se adapte a la realidad de su empresa e introducir medidas de seguridad mínimas e imprescindibles para proteger la información generada, con el menor número de recursos posibles y cambios organizativos.
Incluye, además, un ejemplo práctico con la información básica que debe incluir un SGSI e indicaciones sobre la información que debe recoger cada documento.
Contenido:
- Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
- Comprender la Norma UNE-ISO/IEC 27001
- Comprender la Norma ISO 27002
- Definición e implementación de un SGSI
- Proceso de certificación
- Relación entre los apartados de la norma y la documentación del sistema
- Ejemplo práctico
- Texto completo de la Norma UNE-ISO/IEC 27001:2007 ´Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos´.
