Fundamentos Sgsi

Gracias por:
Su puntualidad No interrumpir No comer dentro del salón No utilizar celular
© Icontec. Derechos reservados.

Fundamentos
del SGSI NTC
ISO/IEC
27001:2022

Objetivos:
FUNDAMENTOS DEL SGSI NTC ISO/IEC 27001:2022
✓ Entender los beneficios de implementar un sistema de gestión de seguridad de la información

✓ Comprender los conceptos y componentes básicos de los sistemas de gestión de la seguridad de la información
✓ Comprender con un enfoque de gestión basado en procesos la estructura de la NTC ISO/IEC 27001 a través de sus
requisitos.
Unidades de Contenido
aprendizaje del Curso
• Fundamentos de la gestión • Introducción al Sistema de gestión de seguridad
de la seguridad de la de la información SGSI
información. • Antecedentes y desarrollo de las normas de
• Estructura general de la gestión de seguridad de la información 16
NTC ISO/IEC ISO • Gestión por procesos y PHVA Horas
27001:2022. • Análisis de la norma NTC ISO/IEC 27001:2022
• Estructura de los controles
del Anexo A Pre-requisito
Material a entregar N/A.
Memorias, GTC ISO / IEC 27002:2022, NTC ISO/IEC 27001:2022, Tabla
de relación de controles y atributos, Tabla de equivalencia ISO IEC 27002
© Icontec.
2013 a 2022 y Tabla de equivalencia ISO IEC 27002 2022 a 2013 Derechos reservados.
Fundamentos del SGSI NTC ISO/IEC 27001:2022
Fundamentos del SGSI NTC ISO/IEC 27001:2022
Norma
NTC
UNIDADES DE ISO/IEC
OBJETIVOS CONTENIDOS 27001
APRENDIZAJE
Entender los beneficios • Introducción al

Fundamentos de la gestión de implementar un
de la seguridad de la Sistema de gestión de
sistema de gestión de seguridad de la T
información. seguridad de la información SGSI.
información.
Comprender los • Antecedentes y
desarrollo de las
conceptos y T
Estructura general de la normas de gestión de
componentes básicos seguridad de la
NTC ISO/IEC ISO de los sistemas de
27001:2022. información.
gestión de la seguridad
de la información. • Gestión por procesos
Comprender con un y PHVA T
Estructura de los controles enfoque de gestión
del Anexo A • Análisis de la norma
basado en procesos la
NTC ISO/IEC
estructura de la NTC 27001:2022 T
ISO/IEC 27001 a través
de sus requisitos.

Introducción al Sistema de Gestión de
Seguridad de la Información SGSI

Términos y Definiciones
Información: La información consiste en

un conjunto de datos que poseen un
significado, de modo tal que reducen la
incertidumbre y aumentan el
conocimiento de quien se acerca a
contemplarlos.
Idalberto Chiavenato.

Información
Objetivos Fórmulas
Financiero
Procedimientos El activo
imprescindible de tu
organización
Personas
App
Base de
Indicadores Datos
Datos
Nube
Seguridad de la información
• Qué pasaría si la información se filtra para la

competencia?
• Qué sucedería si se dañan los medios donde se

almacena la información?
Necesidad de la seguridad
Phishing
• Qué pasaría si no podemos operar por causa de un
Phishing
evento natural?
• Cual es nuestra mayor debilidad?
• Qué información nos interesa proteger?

Puertas
Virus Espionaje Ransomware Traseras
Phishing
Ingeniería Necesidad de la Eventos
Social Sabotaje Naturales Phishing
seguridad?
Denegación Robo Accesos

de Ciberataque no
de
Servicios Información Autorizado
Preservación de la confidencialidad, CID
integridad y disponibilidad de la
información.
Además, otras propiedades, como
autenticidad, no repudio y confiabilidad Phishing
también pueden estar involucradas. Phishing
ISO/IEC 27000:2018
• Confidencialidad Propiedad cuya información no se coloca a
Seguridad disposición o se divulga a personas, entidades o procesos no
de la autorizados.
• Disponibilidad propiedad de ser accesible y utilizable bajo

Información demanda por una entidad autorizada.
• Integridad Propiedad de exactitud y completitud.
Autenticidad Propiedad que una entidad es lo que dice ser.
No repudio Capacidad para probar la ocurrencia de un evento o acción

reclamada y sus entidades originarias.
Confiabilidad (fiable) Propiedad del comportamiento y los resultados

consistentes.
ISO/IEC 27000:2018

La adopción de un sistema de gestión de la seguridad de
Sistema de la información es una decisión estratégica para una

organización. El establecimiento y su implementación está
gestión de influenciado por las necesidades y objetivos de la
seguridad organización, los requisitos de seguridad, los procesos
de la organizativos utilizados y el tamaño y estructura de la

organización.
información
SGSI El sistema de gestión de la seguridad de la información
preserva la confidencialidad, la integridad y la disponibilidad
de la información mediante la aplicación de un proceso de
gestión de riesgos y da confianza a las partes interesadas
de que los riesgos se gestionan adecuadamente.
ISO/IEC 27001:2022
Sistema de gestión de seguridad de la
información SGSI
Ciberseguridad
Preservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio.
Ciberespacio: entorno complejo resultante de la interacción de personas, software y servicios en Internet

por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en ninguna forma física.
ISO/IEC 27032:2012

información SGSI
Ciberseguridad
La seguridad de la información se puede utilizar para evaluar y gestionar los riesgos de ciberseguridad.
La pregunta clave es ¿cómo gestionar el riesgo de ciberseguridad de manera integral y estructurada, y

garantizar que los procesos, la gobernanza y los controles existan y sean adecuados para su propósito?
Esto puede hacerse a través de un enfoque de sistemas de gestión. Un Sistema de Gestión de Seguridad
de la Información (SGSI) como se describe en ISO / IEC 27001 es una forma bien probada para que
cualquier organización implemente un enfoque de ciberseguridad basado en el riesgo.
ISO/IEC 27103:2018

información SGSI
Protección de la privacidad de la información

Privacidad de datos, también llamada privacidad de la información trata sobre la capacidad que una
organización o individuo tiene para determinar qué datos se pueden compartir y/o autorizar con terceros
para su tratamiento o procesamiento.
El dominio de la privacidad se superpone parcialmente con la seguridad, que puede incluir los conceptos de
uso adecuado y protección de la información.

Antecedentes y
Desarrollo de las
normas del SGSI

Evolución
2022
2022
ECOSISTEMA
+ + Seguridad de la
Información
ISO 27001 ISO 27002 ISO 27000
Seguridad de la
información,
ciberseguridad y ISO 27032
+ + Ciberseguridad
ISO 27103 ISO 27017
protección de la
privacidad
Protección de
+ + + + la Privacidad
ISO 29100 ISO 27701 ISO 27018 ISO 29134 ISO 29151
Riesgos
+
ISO 31000 ISO 27005 © Icontec. Derechos reservados.
Gestión por Procesos y
PHVA
v

¿Qué es un
Enfoque Basado en Procesos?
Los resultados
deseados se
alcanzan más
eficientemente
cuando
los recursos y las
actividades
relacionadas se
gestionan como
un proceso.
ISO 9001

Mapa de Procesos

Proceso
Conjunto de actividades que están interrelacionadas y que pueden interactuar entre sí.
Estas actividades transforman los elementos de entrada en resultados, para ello es esencial
la asignación de recursos.
Descripción de procesos

Ciclo PHVA ¿Qué hacer?
PLANEAR
¿Cómo hacerlo?
P
ACTUAR
¿Cómo mejorar la
próxima vez?
A H HACER Ejecutar lo
planificado
V
VERIFICAR
¿Las cosas pasaron según lo
planificado?

Ciclo PHVA Ciclo de desarrollo, implementación
mantenimiento y mejora
Requisitos y expectativas de seguridad
Seguridad de la información gestionada.

P
Partes Interesadas
Establecer
Partes Interesadas
el SGSI
,
Mantener y Implementar
A mejorar el
H
de la información.
y operar el
SGSI SGSI
Hacer
V seguimiento y
revisar el SGSI
Entrada Salida
Documentación
Análisis de la norma NTC ISO/IEC
27001:2022

Seguridad de la información, ciberseguridad y
protección de la privacidad
Estructura de alto
Administrativo nivel Requisitos
4 al 10
ISO/IEC
27001
NTC
ANEXO A GTC ISO/IEC

Controles Controles 27002
Técnicos A5 - A8 Controles de
seguridad de la
información
Estructura
Estructura 1. OBJETO Y CAMPO DE APLICACIÓN
de la Norma 2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIÓN
5. LIDERAZGO
6. PLANIFICACIÓN
7. APOYO
8. OPERACIÓN
9. EVALUACIÓN DEL DESEMPEÑO
10. MEJORA
4. Contexto de la
Organización 4.1 Comprensión de la Organización y su
contexto
Comprensión de las necesidades y

4.2 expectativas de las partes interesadas
Determinación del alcance del sistema

4.3 de gestión de la seguridad de la
información
Sistema de Gestión de la Seguridad de la

4.4 Información

5. Liderazgo
5.1 Liderazgo y Compromiso
5.2 Política
Roles, Responsabilidades y
5.3 Autoridades en la Organización

5. Liderazgo Garantizar
• Política de seguridad de la información y los objetivos

de seguridad de la información.
• Integración de los requisitos con los procesos de la

organización.
• Disponibilidad de los recursos necesarios para el

sistema.
• Comunicar la importancia de una gestión eficaz y de la

conformidad con los requisitos.
• El sistema logre los resultados previstos.
Dirigir y apoyar a las personas
Promover la mejora continua.

6. Planificación
Acciones para tratar riesgos y
6.1 oportunidades
Objetivos de la Seguridad de la
6.2 Información
6.3 Planificación de los Cambios

6.1 oportunidades
Alcance, Contexto, Criterios
Evaluación
del riesgo
Identificación del riesgo
Comunicación y consulta
Seguimiento y revisión
Análisis del riesgo
Valoración del riesgo
Tratamiento del riesgo
Registro e Informe
Proceso

6.1 oportunidades
• Plan de tratamiento
• Declaración de aplicabilidad
• Aprobación Riesgos y aceptación
• Aceptación del riesgo residual
Documentación
Dueños de los
del tratamiento
riesgos
de los riesgos

Objetivos de la Seguridad de la
6.2 Información
Ser coherentes con la política de SI
Ser medibles
Estar vinculados a los requisitos de

seguridad de la información aplicables
Ser comunicados
Ser actualizados, según sea apropiado

6.3 Planificación de los cambios
Cuando la organización determine la necesidad de

realizar cambios en el sistema de gestión de la seguridad
de la información, éstos se llevarán a cabo de forma
planificada.

7. Apoyo
7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicación
7.5 Información Documentada

7.2 Competencia Conservar la información documentada
Evaluar eficacia de las acciones
Suministrar formación o contratación
Determinar necesidades de competencia (educación, formación o

Experiencia)
Asegurar la conciencia del personal: pertinencia e

importancia de las actividades y su contribución a los objetivos
7.3 Toma de Conciencia

7.4 Comunicación
Qué comunicar
Cuándo comunicar
Con quién comunicar
Cómo comunicar

7.5 Información documentada
Control de la ID de Origen
Creación y
Información Externo Necesaria
Actualización
Documentada para SGSI
Identificación y Disponible y adecuada

para su uso cuando y
Actualización donde se necesite Identificarse y
Controlarse
Protegida
Titulo adecuadamente
Fecha
Autor
Referencia Numérica
Revisión / Aprobación Distribución, acceso,
recuperación y uso
Almacenamiento y
preservación
Control de Cambios
Información documentada del Conservación y

SGSI disposición
• Requerida ISO 27001
• Determinada por la
organización pero
necesaria para la eficacia
del SGSI
8. Operación
8.1 Planificación y Control de la Operación
Evaluación de los Riesgos de la

8.2 Seguridad de la Información
Tratamiento de los riesgos para la

8.3 seguridad de la información

Planificación y Control
8.1 Operacional
Planificar Implementar Controlar

Establecer criterios
para los procesos
Los Procesos necesarios para cumplir los Implementar los

controles de los
requisitos y para implementar las acciones procesos
para abordar los riesgos y oportunidades
Mantener información
documentada
Controlar Revisar consecuencias Controlar los procesos,

productos o servicios
cambios de cambios no proporcionados
planificados previstos externamente

Evaluación de los Riesgos de la Seguridad de la
8.2 Información
Evaluaciones de riesgos a intervalos planificados

o cuando se presenten cambios significativos
Tratamiento de riesgos para la seguridad

8.3 de la información
Implementar el plan de tratamiento de riesgos de

la seguridad de la información.

9. Evaluación
del desempeño
Seguimiento, Medición, Análisis y
9.1 Evaluación
9.2 Auditoría Interna
9.3 Revisión por la dirección

Seguimiento, Medición, Análisis y
9.1 Evaluación
Procesos,
actividades,
procedimientos y Métodos
controles a medir (Comparables y
reproducibles)
9.1 Seguimiento,
medición,
análisis y
evaluación
Momentos Responsables
Registros de los
resultados

9.2 Auditorías Internas
La organización debe llevar a cabo auditorias

internas en intervalos planificados para
proporcionar evidencia si el SGCN cumple:
• Los propios de la organización

• Los requisitos ISO 27001
• Si el SGSI se implementa y mantiene
eficazmente

9.2 Auditorías Internas
Planear,
establecer
implementar y
mantener PA
Las acciones
de auditoria de Definir
seguimiento criterios y
verifiquen las alcance de
medidas cada auditoria
tomadas
Programa
de
auditoria
Tomar las
Seleccionar
acciones
los auditores y
correctivas sin
llevar a cabo
demora
las auditorias
injustificada
Informar los
resultados a la
dirección
pertinente

Asegurar: conveniencia, adecuación y eficacia
9.3 Revisión por la dirección continuas del SGSI
➢ Estado de Revisiones
SALIDA
Decisiones de la Mejora
anteriores
continua y cualquier
➢ Cambios externos e internos.
decisión de cambio.
➢ Cambios en necesidades y
expectativas
➢ Retroalimentación del
desempeño de la SI
▪ No conformidades y
acciones correctivas.
ENTRADAS
▪ Resultados de
seguimiento y medición.
▪ Resultados de Información
Auditorías. Documentada
▪ Cumplimiento de
Desarrollo, análisis,
objetivos.
➢ Resultados de evaluación de conclusiones, planes de
riesgos y estado del plan de acción.
tratamiento.
➢ Comentarios de las partes
interesadas
➢ Oportunidades de mejora
© Icontec.
continua Derechos reservados.
10. Mejora
10.1 Mejora continua
No conformidades y acciones
10.2 correctivas

10.1 Mejora continua
CRITERIOS REALIDAD
- ESPECIFICACIONES Conveniencia
-- REGLAMENTOS PROCESOS
- MANUALES
- NORMAS
LO QUE SE HACE
LO QUE SE DEBE HACER
OBJETIVO
CUMPLIR SISTEMÁTICAMENTE
REQUISITOS DEL SISTEMA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPECIFICADOS
LO QUE SE QUIERE
HACER

10.2 No conformidades y acciones correctivas
• Revisión de la no
• Estandarizar conformidad
los cambios • Determinación de
las causas
• Determinar si
existen no
conformidades
Evaluar la similares
Hacer los
necesidad de
cambios en el
acciones
SGSI
correctiva
Revisar la
eficacia de Implementar
cualquier cualquier
acción acción
correctiva necesaria
tomada
• Asegurarse • Ejecutar los
de que se planes de
eliminaron acción
las causas
Anexo A
Controles de seguridad de la información

Temas y controles
Anexo A
Numeral Tema Controles

A5 Controles Organizacionales 37
A6 Controles de Personas 8
A7 Controles Físicos 14
A8 Controles Tecnológicos 34
Total 93

Estructura Controles de seguridad
información del Anexo A
de la
Anexo A
Numeral Tema: A5
Descripción Tema: Controles Organizacionales
Numeral Control: A.5.1
Nombre del Control: Políticas de seguridad de la
información
Descripción del Control: La política de seguridad de la
información y las políticas temáticas específicas se deben
definir, aprobar por la dirección, publicadas, comunicadas
y reconocidas por el personal pertinente y las partes
interesadas pertinentes, y revisadas a intervalos
planificados y si se producen cambios significativos.

Estructura
GTC Temas y Atributos
ISO/27002:2022 Personas: referidas a personas individuales
Físicas: referidas a objetos físicos
Tecnológica: referida a la tecnología
Organizacionales: no incluidas en las anteriores.
Tipo de Control
Preventivo: prevenir la ocurrencia de un incidente
de la seguridad de la información
Detectivo: actúa cuando ocurre el incidente
Correctivo: actúan después de que ocurre el
incidente

Estructura
GTC Propiedades
ISO/27002:2022 Confidencialidad
Integridad
Disponibilidad
Conceptos de Ciberseguridad
Identificar
Proteger
Detectar
Responder
Recuperar

Capacidades Operativas
Estructura
➢ Gobierno
GTC ➢ Gestión de activos
ISO/27002:2022 ➢ Protección de información
➢ Seguridad de recursos humanos
➢ Seguridad física
➢ Seguridad sistema y red
➢ Seguridad aplicación
➢ Configuración segura
➢ Gestión de acceso e identidad
➢ Gestión de amenazas y
vulnerabilidades
➢ Continuidad
➢ Seguridad de las Relaciones con
proveedores
➢ Conformidad Jurídica
➢ Gestión de eventos de la información
➢ Aseguramiento de la información
Estructura Dominios de seguridad
GTC
ISO/27002:2022 Dominio Subdominios
Gobierno y Gobierno
Ecosistema Gestión de riesgos de sistemas de
información
Gestión de ciberseguridad y ecosistemas
Protección Arquitectura de seguridad de TI
Administración de seguridad de TI
Gestión de identidades y acceso
Mantenimiento de seguridad de TI
Seguridad física ambiental
Defensa Detección
Gestión de incidentes de seguridad
informática
Resiliencia Continuidad de las operaciones
Gestión de crisis
A5
Controles
Organizacionales
v

5.1 Políticas
Gobierno 5.2 Funciones y responsabilidades
5.3 Segregación de funciones
5.4 Responsabilidades de gestión
5.5 Contacto con las autoridades
5.6 Contacto con grupos de interés especiales
5.7 Inteligencia sobre amenazas (Amenazas y
Vulnerabilidades)
5.8 Seguridad en la gestión de proyectos

5.9 Inventario de información y otros activos
Activos / asociados
Información 5.10 Uso aceptable de la información y otros activos
asociados
5.11 Devolución de activos
5.12 Clasificación de la información
5.13 Etiquetado de la información
5.14 Transferencia de información

Control 5.15 Control de acceso
Acceso / 5.16 Gestión de identidad
Identidad 5.17 Información de autenticación

5.18 Derechos de acceso

Seguridad de la
información 5.19 Relaciones con los proveedores
5.20 Acuerdos con los proveedores
en la
5.21 Cadena de suministro de las TIC
Relación con
5.22 Seguimiento, revisión y gestión de cambios
Proveedores 5.23 Seguridad de la información para el uso de
servicios en la nube

Gestion de 5.24 Planificación y preparación de la gestión de
eventos incidentes
5.25 Evaluación y decisión sobre eventos
5.26 Respuesta
5.27 Aprendizaje de los Incidentes
5.28 Recopilación de pruebas

Continuidad /
Cumplimiento
5.29 Durante la interrupción
5.30 Preparación de las TIC para la continuidad de la
actividad
5.31 Requisitos legales, reglamentarios y contractuales
5.32 Derechos de propiedad intelectual
5.33 Protección de los registros
5.34 Privacidad y protección de la IIP
5.35 Revisión independiente
5.36 Cumplimiento de las políticas, reglas y normas
5.37 Procedimientos operativos documentados

A6
Controles de
Personas
v

Personas 6.1 Selección
6.2 Condiciones del empleo
6.3 Sensibilización, educación y formación
6.4 Proceso disciplinario
6.5 Responsabilidades terminación o cambio de
empleo
6.6 Acuerdos de confidencialidad o No
divulgación
6.7 Trabajo remoto
6.8 Informes de eventos de seguridad de la
información

A7
Controles
Físicos v

Físicos
7.1 Perímetros de seguridad física
7.2 Entrada física
7.3 Protección de oficinas, salas e instalaciones
7.4 Monitoreo de la seguridad física
7.5 Protección contra las amenazas físicas y
medioambientales
7.6 Trabajo en zonas seguras
7.7 Escritorio limpio y pantalla limpia

Físicos
7.8 Ubicación y protección de los equipos
7.9 Seguridad de los activos fuera de las
instalaciones
7.10 Medios de almacenamiento
7.11 Servicios públicos de respaldo
7.12 Seguridad del cableado
7.13 Mantenimiento del equipo
7.14 Eliminación segura o reutilización del equipo

A8
Controles
Tecnológicos
v

Accesos 8.2 Derechos de acceso privilegiados
8.3 Restricción del acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
Continuidad 8.6 Gestión de capacidad

8.13 Copia de seguridad de la información
8.14 Redundancia de las instalaciones de tratamiento
de la información

8.1 Dispositivos finales del usuario
Protección
8.7 Protección contra malware
Información
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de la fuga de datos
Eventos / 8.8 Gestión de las vulnerabilidades técnicas

Vulnerabilidades 8.15 Registros
técnicas 8.16 Actividades de monitoreo
8.17 Sincronización del reloj

Seguridad 8.9 Gestión de la configuración
Sistemas 8.18 Uso de programas de utilidad privilegiados
Redes / 8.19 Instalación de software en sistemas

Configuración operativos
8.20 Seguridad de las redes
8.21 Seguridad de los servicios de red
8.22 Segregación de redes
8.23 Filtrado web
8.24 Uso de cifrado
8.34 Protección de los sistemas de información
durante las pruebas de auditoria

Seguridad 8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos
Aplicación
8.27 Arquitectura de sistemas seguros y
principios de ingeniería
8.28 Codificación segura
8.29 Pruebas de seguridad en el desarrollo y la
aceptación
8.30 Desarrollo tercerizado
8.31 Separación de los entornos de desarrollo
prueba y producción
8.32 Gestión del cambio
8.33 Información de la prueba
Su opinión
es muy importante
¿Quiere darnos su opinión?

¿Presentar una oportunidad de mejora? Lo invitamos a
¿Enviar una sugerencia?
escribirnos al correo
electrónico
[email protected]

Gracias.

Fundamentos Sgsi

Cargado por

Copyright:

Formatos disponibles

Fundamentos Sgsi

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentos Sgsi

Cargado por

Copyright:

Formatos disponibles

Gracias por:

Su puntualidad No interrumpir No comer dentro del salón No utilizar celular

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

✓ Entender los beneficios de implementar un sistema de gestión de seguridad de la información

Entender los beneficios • Introducción al

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

Información: La información consiste en

© Icontec. Derechos reservados.

• Qué pasaría si la información se filtra para la

• Qué sucedería si se dañan los medios donde se

• Cual es nuestra mayor debilidad?

• Qué información nos interesa proteger?

Denegación Robo Accesos

Preservación de la confidencialidad, CID

• Disponibilidad propiedad de ser accesible y utilizable bajo

• Integridad Propiedad de exactitud y completitud.

Autenticidad Propiedad que una entidad es lo que dice ser.

No repudio Capacidad para probar la ocurrencia de un evento o acción

Confiabilidad (fiable) Propiedad del comportamiento y los resultados

© Icontec. Derechos reservados.

Sistema de la información es una decisión estratégica para una

de la organizativos utilizados y el tamaño y estructura de la

Ciberespacio: entorno complejo resultante de la interacción de personas, software y servicios en Internet

© Icontec. Derechos reservados.

La pregunta clave es ¿cómo gestionar el riesgo de ciberseguridad de manera integral y estructurada, y

© Icontec. Derechos reservados.

Protección de la privacidad de la información

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

Requisitos y expectativas de seguridad

Seguridad de la información gestionada.

© Icontec. Derechos reservados.

ANEXO A GTC ISO/IEC

9. EVALUACIÓN DEL DESEMPEÑO

Comprensión de las necesidades y

Determinación del alcance del sistema

Sistema de Gestión de la Seguridad de la

© Icontec. Derechos reservados.

© Icontec. Derechos reservados.

• Política de seguridad de la información y los objetivos

• Integración de los requisitos con los procesos de la

• Disponibilidad de los recursos necesarios para el

• Comunicar la importancia de una gestión eficaz y de la

• El sistema logre los resultados previstos.

Dirigir y apoyar a las personas

Promover la mejora continua.

6.3 Planificación de los Cambios

© Icontec. Derechos reservados.

Identificación del riesgo

Valoración del riesgo

Tratamiento del riesgo