Práctica 6.1

-

 Norma ISO/IEC 27002

Esta norma establece las recomendaciones para un mejor implantación del SSGI, está enfocada a cualquier tipo de organización. Su objetivo es establecer directrices para iniciar, mantener y mejorar la gestión de la seguridad de la información.

MEDIDAS DE SEGURIDAD:
  1. Política de seguridad.
  2. Aspectos organizativos de la seguridad de la información.
  3. Gestión de activos.
  4. Seguridad ligada a los recursos humanos.
  5. Seguridad física y ambiental.
  6. Gestión de comunicaciones y operaciones.
  7. Control de acceso.
  8. Adquisición, desarrollo y mantenimiento de los sistemas de información.
  9. Gestión de incidentes en la seguridad de la información.
  10. Gestión de la continuidad del negocio.
  11. Cumplimiento.
La diferencia existente entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013
Una de las diferencias a destacar es la estructura, mientras que la ISO/IEC 27002:2005 tenía once secciones, la ISO/IEC 27002:2013 tiene catorce secciones. A pesar de tener más secciones, es más corto y centrado. También tiene diferentes subsecciones nuevas (instalaación de software, gestión de activos, desarrollo seguro... entre otros).
Se han reescrito y reelabprado la mayoría de las secciones y ha habido numerosos cambios en la terminología. La palabra contraseña ha sido reemplazadaa por la frase secreta información de autenticación, privilegios se ha reemplazado por derechos de acceso privilegiado, código malicioso se ha convertido en maalware... 
La ISO 27002 de 2005 tenía 11 dominios, 39 objetivos de control y 133 controles, mientras que la ISO/IEC 27002:2013 tiene 14 dominios, 35 objetivos de control y 114 controles.

Comentarios

Publicar un comentario

Entradas populares de este blog

Práctica 7.3

-
Imagen
Página 1/ Instrucciones: para qué se utiliza la aplicación y su funcionamiento. Página 2/Ejemplo de análisis: pasos a seguir para realizar un análisis de riesgo y un ejemplo de ello. Página 3/ Tablas AR: tablas para estimar la probabilidad y el impacto (matriz de riesgo), así como los criterios de aceptación de riesgo. Página 4/ Catálogo de amenazas: conjunto de amenazas a tener en cuena, extraídas del catálogo MAGERIT. Página 5/ Activos: lista de los activos dividido en tres modelos (A, B y C) Página 6/ Cruces activo/amenaza: listado de amenazas/activo. Página 7/ Análisis de riesgo: proporcionaan el modelo de plantilla para el análisis de riesgo.
Leer más