ISO GAP ANALYSIS

Documentos relacionados
PROYECTO ISO SISTESEG

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Todos los derechos reservados

RESUMEN EJECUTIVO PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO:

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

Dirección y Gerencia

Requerimientos básicos en la gestión de la seguridad de la información

Riesgo tecnológico y su impacto para las organizaciones parte I

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Paquete de documentos sobre ISO 27001

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Postgrado en Sistemas de Gestión Iso 27001: Experto Auditor Iso Gestor de Sistemas de Seguridad de la Información 27001

Paquete Premium de documentos sobre ISO e ISO 22301

INFORME DE CUMPLIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN. 1. Productos Estratégicos Institucionales contenidos en el formulario A1.

POLITICA DE SEGURIDAD DE LA INFORMACION

Resumen Norma ISO

Esquema de arquitectura y seguridad.

SEXTA SECCION SECRETARIA DE HACIENDA Y CREDITO PUBLICO

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

18 POLITICAS DE SEGURIDAD PARA LA ADQUISICIÓN, MANTENIMIENTO Y DESARROLLO DE SISTEMAS DE INFORMACIÓN

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO

Ventajas de un Modelo de Madurez en Ciberseguridad

SEGURIDAD INFORMATICA. Vulnerabilidades

CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

ISO/IEC 17799:2005(E)

Anexo A (Normativo) Objetivos de control y controles de referencia

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

JM Reglamento para la Administración del Riesgo Tecnológico By Juan Antonio Vásquez

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

La seguridad según Batman

Sistemas de Información para la Gestión

Master en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD)

MÓDULO VIII. La Auditoría Informática en el entorno del Compliance. 27 de Marzo de 2017 Curso Superior en Corporate Compliance.

Índice. agradecimientos introducción...15

La importancia de la Ciberseguridad en la Auditoría Financiera. Ricardo Barrasa García Presidente de ISACA Madrid

SIJISA S.A. DE C.V. SI08 Política de seguridad a TI Los requisitos de la norma ISO 27001:2013

ANEXO XIII: AUDITORIA LISTA DE VERIFICACIÓN DE AUDITORIA

Guatemala, 18 de abril de 2013.

Norma ISO 27001:2013 para la validación de la seguridad informática. Nombre del Ponente: Pablo Corona Fraga

Curso Especializado Seguridad Informática GNU/LINUX

TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES

ENTRENAMIENTO ENTRENAMIENTO CLASIF. CONFIDENCIALIDAD IPB CLASIF. INTEGRIDAD A CLASIF. DISPONIBILIDAD 1

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA CUMPLIMIENTO

Anexo G Declaración de aplicabilidad.

ISO/IEC CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO e ISO 27001

INDICE Parte 1. Introducción a los Sistemas de Información de Mercadotecnia Capitulo 1. Fundamentos de los Sistemas de Información de Mercadotecnia

MÓDULO FORMATIVO 3: ADMINISTRACIÓN DE SERVICIOS DE TRANSFERENCIA DE ARCHIVOS Y CONTENIDOS MULTIMEDIA

Guía del Curso Técnico en Seguridad Informática

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

MINUTA DEL SGSI Y WLA

Gerencia de Proyectos

POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN ARROCERA BOLUGA LTDA.

Informe de auditoria

MF0974_1: Tratamiento de datos, textos y documentación

Gustavo Adolfo Vélez Achury Subdirector Técnico de Recursos Tecnológicos

Asignatura: Tecnologías Emergentes 7º Nivel. Docente: Ing. Freddy Melgar Algarañaz

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

Contenido. Este documento impreso se considera copia no controlada

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

NORMA GENERAL-DESCRIPCIÓN Y CARACTERÍSTICAS TÉCNICAS OPERATIVAS DE LA UNIDAD DE INFORMÁTICA

ANEXO A Controles de Seguridad de la Información. CTIC-SE-P1-v.1.0

POLITICAS DE SEGURIDAD DE LA INFORMACION PARA PROVEEDORES Y CONTRATISTAS GESTION TECNOLOGICA Y DISEÑO

VALPARA,SO,3lDIC2fl15

Perito Judicial en Análisis Auditoría Pericial de los Sistemas de Seguridad de la Información ISO Titulación Universitaria en

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

4.24 Cloud Security Alliance Cloud Controls Matrix (CCM) v3.0.

Técnico en Sistemas de Almacenamiento

Plan de Seguridad de la Información de de Abril de de 2008

2.4. Unidades de Aprendizaje. Unidad de aprendizaje: Distinción de la normatividad del derecho informático. Número 1. Propósito de la unidad

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Auditoría Externa al ASIC, TIE, LAC Informe Ejecutivo. Junio de Deloitte Asesores y Consultores

Seguridad de la información como medida para la protección de los datos

Este dominio consta de 13 procesos que se describen a continuación.

Formatos de Metodología

GESTIÓN DE INFRAESTRUCTURA Y OPERACIONES DE TECNOLOGÍAS DE INFORMACIÓN

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

Y LA INFRAESTRUCTURA INFORMÁTICA DELASECRETARÍA GENERAL DE GOBIERNO,ASÍ COMO GARANTIZAR LA CONTINUIDAD DE LOS SERVICIOS QUE SE

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

ISO27002.es PATROCINADO POR:

DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES DIAN Experiencia Profesional

Ciberseguridad. Juriquilla, Querétaro Julio Comisión Nacional Bancaria y de Valores Vicepresidencia Técnica

ADMINISTRACION PUBLICA NACIONAL

POLÍTICA DE SEGURIDAD PARA LA IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS P03

Charla de Preparación para la Pre-Auditoría del SGSI

Hacia una manera segura de proteger datos personales

Transcripción:

Fecha: 10/7/2007 CONFIDENCIAL Página 1 de 16 5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1.1 Se tiene documento de la política de seguridad de la Información 5.1.2 Se hace revisión y evaluación de este documento y se promulga su lectura y aplicación. 6.1 ORGANIZACIÓN SEGURIDAD 6.1.1 Compromiso de las Directivas con la seguridad de la información 6.1.2 Coordinación de la Seguridad 6.1.3 Asignación de responsabilidades 6.1.4 Proceso de Autorización a áreas de procesamiento de información 6.1.5 Se realizan acuerdos de confidencialidad 6.1.6 Contacto con las autoridades

Fecha: 10/7/2007 CONFIDENCIAL Página 2 de 16 6.1.7 Contacto con grupos de especial interés 6.1.8 Se realiza Auditoría interna 6.2 Terceros 6.2.1 Identificación de riesgos 6.2.2 Aproximación a la seguridad al tratar con clientes 6.2.3 Aproximación a la seguridad en acuerdos con terceros 7.1 GESTION DE ACTIVOS 7.1.1 Inventario de activos tecnológicos y de la información. 7.1.2 Responsables de los activos tecnológicos 7.1.3 Uso aceptable de las activos tecnológicos 7.2 Clasificación de la Información

Fecha: 10/7/2007 CONFIDENCIAL Página 3 de 16 7.2.1 Normas para clasificación de la información 7.2.2 Identificación y Manejo de la información 8.1 SEGURIDAD RECURSO HUMANO Previo a la contratación 8.1.1 Roles y responsabilidades 8.1.2 Investigación del personal que va a ser contratado 8.1.3 Términos y condiciones laborales 8.2 Durante el empleo 8.2.1 Responsabilidades de las directivas 8.2.2 Conciencia de la seguridad, educación y entrenamiento 8.2.3 Procesos disciplinarios 8.3 Terminación del contrato o cambio de empleo

Fecha: 10/7/2007 CONFIDENCIAL Página 4 de 16 8.3.1 Responsabilidades en la terminación del contrato 8.3.2 Devolución de activos tecnológicos 8.3.3 Eliminación de permisos sobre los activos 9.1 SEGURIDAD FISICA Áreas Restringidas 9.1.1 Perímetro de Seguridad Física 9.1.2 es físicos de entrada 9.1.3 Aseguramiento de oficinas, cuartos e instalaciones 9.1.4 Protección contra amenazas externas y ambientales 9.1.5 Trabajo en áreas restringidas 9.1.6 Acceso público, envíos y áreas de carga 9.2 Seguridad de los Componentes Tecnológicos

Fecha: 10/7/2007 CONFIDENCIAL Página 5 de 16 9.2.1 Ubicación y protección de equipos tecnológicos 9.2.2 Seguridad en el suministro de electricidad y servicios (utilities) 9.2.3 Seguridad en el cableado 9.2.4 Mantenimiento 9.2.5 Seguridad de equipos fuera de las áreas seguras 9.2.6 Destrucción y reutilización de equipos 9.2.7 Extracción de activos informáticos 10.1 10.1.1 COMUNICACIONES Y MANEJOS OPERATIVOS Procedimientos Operativos y Responsabilidades Documentación de procesos operativos 10.1.2 de Cambios

Fecha: 10/7/2007 CONFIDENCIAL Página 6 de 16 10.1.3 Segregación de funciones 10.1.4 Separación de los ambientes de Desarrollo, prueba y producción 10.2 Administración de Servicios de terceros 10.2.1 Entrega de servicios 10.2.2 Monitoreo y revisión de servicios de terceros 10.2.3 Administración de cambios a servicios de terceros 10.3 Planeamiento y aceptación de sistemas 10.3.1 Administración de la capacidad 10.3.2 Aceptación de sistemas 10.4 Protección contra código malicioso y móvil 10.4.1 es contra código malicioso

Fecha: 10/7/2007 CONFIDENCIAL Página 7 de 16 10.4.2 es contra código móvil 10.5 Copias de seguridad 10.5.1 Respaldo de la información. 10.6 Administración de la seguridad de la red 10.6.1 es de la Red 10.6.2 Seguridad de los Servicios de Red 10.7 Manipulación de medios 10.7.1 Administración de medios removibles 10.7.2 Destrucción de medios 10.7.3 Procedimientos de manejo de la información 10.7.4 Seguridad de la documentación de los sistemas

Fecha: 10/7/2007 CONFIDENCIAL Página 8 de 16 10.8 Intercambio de información 10.8.1 Políticas y procedimientos del intercambio de información 10.8.2 Acuerdos para el intercambio de información. 10.8.3 Medios físicos en movimiento 10.8.4 Mensajería Electrónica 10.8.5 Sistemas de información de negocios 10.9 Servicios de Comercio Electrónico 10.9.1 Comercio Electrónico 10.9.2 Transacciones en Línea 10.9.3 Información pública 10.10 Monitoreo

Fecha: 10/7/2007 CONFIDENCIAL Página 9 de 16 10.10.1 Auditoría de registros 10.10.2 Uso de sistemas de monitoreo 10.10.3 Protección de registros de monitoreo 10.10.4 Registros de monitoreo de administradores y operadores 10.10.5 Registro de fallas 10.10.6 Sincronía 11.1 CONTROL DE ACCESO A LA INFORMACIÓN; de acuerdo a las necesidades del negocio. 11.1.1 Política de de Acceso 11.2 Administración de acceso de los usuarios 11.2.1 Registro de Usuarios 11.2.2 Administración de privilegios 11.2.3 Administración de Contraseñas (passwords)

Fecha: 10/7/2007 CONFIDENCIAL Página 10 de 16 11.2.4 Revisión de los permisos asignados a los usuarios 11.3 Responsabilidades de los usuarios 11.3.1 Uso de las contraseñas 11.3.2 Equipos desatendidos 11.3.3 11.4 11.4.1 11.4.2 Política de escritorios y pantallas limpias de acceso a la red de datos Políticas para el uso de los servicios de la red de datos Autenticación de usuarios para conexiones externas 11.4.3 Identificación de equipos en la red 11.4.4 Diagnóstico remoto y protección de la configuración de puertos 11.4.5 Segregación en la red 11.4.6 de conexión a la red

Fecha: 10/7/2007 CONFIDENCIAL Página 11 de 16 11.4.7 de enrutamiento de la red 11.5 de acceso a los sistemas operativos 11.5.1 Procedimientos para inicio de sesión de las estaciones de trabajo 11.5.2 Identificación y autenticación de los usuarios. 11.5.3 Sistema de administración de contraseñas. 11.5.4 Uso de las utilidades del sistema 11.5.5 Time-out para las estaciones de trabajo. 11.5.6 Limitación en los periodos de tiempo de conexión a servicios y aplicaciones 11.6 de acceso a las aplicaciones 11.6.1 Restricción de acceso a los sistemas de información 11.6.2 Aislamiento de sistemas sensibles

Fecha: 10/7/2007 CONFIDENCIAL Página 12 de 16 11.7 11.7.1 Computación Móvil y Teletrabajo Computación Móvil y comunicacioines 11.7.2 Teletrabajo 12.1 DESARROLLO DE SOFTWARE s de seguridad para los sistemas de información 12.1.1 Análisis y especificaciones de los requerimientos de seguridad 12.2 Procesamiento correcto en aplicaciones 12.2.1 Validación de los datos de entrada 12.2.2 del procesamiento interno 12.2.3 Integridad de los mensajes 12.2.4 Validación de los datos de salida 12.3 es Criptográficos 12.3.1 Política para el uso de controles criptográficos

Fecha: 10/7/2007 CONFIDENCIAL Página 13 de 16 12.3.2 Administración de llaves 12.4 12.4.1 Seguridad en los archivos del sistema (System Files) del software operacional(operativo) 12.4.2 Protección de los datos en sistemas de prueba 12.4.3 12.5 12.5.1 de acceso a las librerías de código fuente Seguridad en el desarrollo y en los procesos de soporte técnico Procedimientos para el control de cambios 12.5.2 Revisión técnica de aplicaciones después de cambios al sistema operativo 12.5.3 Restricciones a cambios en paquetes de software 12.5.4 Fuga de información 12.5.5 12.6 12.6.1 13.1 Desarrollo de software por parte de Outsourcing Administración Técnica de Vulnerabilidades técnico de vulnerabilidades REPORTE DE EVENTOS DE SEGURIDAD INFORMÁTICA Y DE SUS DEBILIDADES

Fecha: 10/7/2007 CONFIDENCIAL Página 14 de 16 13.1.1 Reporte de eventos de Seguridad de la información. 13.1.2 Reporte de debilidades de seguridad 13.2 Administración de incidentes de seguridad informática y de su mejoramiento 13.2.1 Responsabilidades y procedimientos 13.2.2 Aprendizaje a partir de los incidentes de seguridad 13.2.3 Recolección de evidencia 14.1 14.1.1 ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO Inclusión de seguridad de la información en el proceso de administración de la continuidad del negocio 14.1.2 Continuidad del negocio y análisis de impacto (BIA) 14.1.3 Desarrollo e implementación de planes de continuidad 14.1.4 Marco de planeación para la continuidad del negocio

Fecha: 10/7/2007 CONFIDENCIAL Página 15 de 16 14.1.5 Pruebas, mantenimiento y revisión de los planes de continuidad del negocio 15.1 CUMPLIMIENTO CON REQUERIMIENTOS LEGALES 15.1.1 Identificación de leyes aplicables 15.1.2 Derechos de autor y propiedad intelectual 15.1.3 Salvaguardar los registros de la organización 15.1.4 Protección de los datos y privacidad de la información personal 15.1.5 Prevención mal uso de los componentes tecnológicos 15.1.6 Regulación de controles criptográficos 15.2 Revisión de la política de seguridad y técnico 15.2.1 Cumplimiento de los diferentes requerimientos y controles establecidos por la política de seguridad 15.2.2 Chequeo del técnico

Fecha: 10/7/2007 CONFIDENCIAL Página 16 de 16 15.3 Consideraciones relacionadas con la auditoría interna 15.3.1 es para auditoría del sistema 15.3.2 Protección de las herramientas para auditoría del sistema FIN

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback