EST: MAMANI MAMANI, Fredy COD: 092286 ANLISIS DE RIESGOS 1.

Evaluar los riesgos de seguridad Evaluacin de riesgos debe identificar, cuantificar y priorizar los riesgos contra los criterios de aceptacin del riesgo y objetivos relevantes para la organizacin. Los resultados deben guiar y determinar la adecuada accin de manejo y las prioridades para la gestin de los riesgos de seguridad de la informacin y para la aplicacin de controles seleccionados para protegerse contra estos riesgos. Evaluacin del riesgo debe incluir el enfoque sistemtico de estimar la magnitud de los riesgos (riesgo anlisis) y el proceso de comparar los riesgos estimados segn criterios de riesgo para determinar la importancia de los riesgos (evaluacin de riesgo). Las evaluaciones de riesgo tambin deben realizarse peridicamente a los cambios de direccin de la seguridad requisitos y en la situacin de riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, el riesgo evaluacin, y cuando se producen cambios significativos. Estas evaluaciones de riesgo deben realizarse en un capaz de producir resultados comparables y reproducibles de manera metdica. La evaluacin de riesgos de seguridad de informacin debe tener un alcance claramente definido para que sea eficaz y debe incluir las relaciones con las evaluaciones de riesgo en otras reas, si procede. 2. Tratamiento de los riesgos de seguridad Antes de considerar el tratamiento del riesgo, la organizacin debe decidir los criterios para determinar o no se pueden aceptar los riesgos. Riesgos pueden aceptarse si, por ejemplo, se considera que el riesgo es bajo o que el costo del tratamiento no es rentable para la organizacin. Tales decisiones deben ser grabadas. Para cada uno de los riesgos identificados tras la evaluacin de riesgos debe ser una decisin de tratamiento de riesgo hecho. Posibles opciones para el tratamiento de riesgo incluyen: a) Aplicando los controles adecuados para reducir los riesgos. b) Sabiendas y objetivamente aceptar riesgos, proporcionando cumplen claramente la de organizacin poltica y criterios para la aceptacin del riesgo. c) Evitando riesgos al no permitir acciones que hara que los riesgos que se produzcan. d) Transferir los riesgos asociados a otras partes, por ejemplo, las aseguradoras o proveedores. Para esos riesgos donde la decisin de tratamiento de riesgo ha sido aplicar controles adecuados, estos controles deben ser seleccionados y aplicado para satisfacer las necesidades identificadas por una evaluacin del riesgo.

Controles debe asegurarse de que los riesgos se reducen a un nivel aceptable teniendo en cuenta: a) Requisitos y restricciones de la legislacin nacional e internacional y los reglamentos; b) Objetivos organizacionales; c) Operacionales requisitos y limitaciones; d) Costo de implementacin y operacin en relacin con los riesgos se reducen y el restante proporcional a la organizacin los requisitos y limitaciones; e) La necesidad de equilibrar la inversin en la implementacin y operacin de los controles contra el dao probablemente como resultado de fallas de seguridad.

POLTICA DE SEGURIDAD 1. Poltica de seguridad de la informacin Objetivo: Proporcionar la direccin de gestin y apoyo para seguridad de la informacin de conformidad con los requerimientos del negocio y leyes y reglamentos pertinentes. 1.1. Documento de poltica de seguridad de informacin Control Un documento de poltica de seguridad de informacin debe ser aprobado por la gerencia y publicado y comunicado a todos los empleados y las partes interesadas externas. Gua de implementacin El documento de poltica de seguridad de informacin debe compromiso de la administracin del Estado y establece el enfoque de la organizacin para administrar la seguridad de la informacin. Debe contener el documento de poltica declaraciones relativas a: a) Una definicin de seguridad de la informacin, sus objetivos generales y mbito de aplicacin y la importancia de seguridad como un mecanismo de informacin compartida. b) Una declaracin de intenciones de la administracin, apoyo a los objetivos y principios de la Informacin de Seguridad en lnea con la estrategia de negocio y objetivos. c) Un marco para el establecimiento de objetivos de control y los controles, incluyendo la estructura de riesgo evaluacin y gestin del riesgo. d) Una breve explicacin de las polticas de seguridad, principios, normas y cumplimiento de requisitos de particular importancia para la organizacin, incluyendo: 1) Cumplimiento de normas legales, reglamentarias y contractuales requisitos; 2) Seguridad educacin, formacin y requisitos de la conciencia; 3) Gestin de continuidad de negocio; 4) Consecuencias de las violaciones de polticas de seguridad de informacin; e) Una definicin de las responsabilidades generales y especficas para la administracin de seguridad de la informacin, incluye informes de incidentes de seguridad de la informacin. f) Referencias a la documentacin que puede apoyar la poltica, por ejemplo, ms seguridad poltica y procedimientos para sistemas de informacin especficos o los usuarios de las normas de seguridad debe cumplir. Esta poltica de seguridad de la informacin debe ser comunicada en toda la organizacin a los usuarios en un formulario que es relevante, accesible y comprensible para el lector previsto.

Otra informacin La poltica de seguridad de la informacin podra ser parte de un documento de poltica general. Si la informacin poltica de seguridad se distribuye fuera de la organizacin, debe tener cuidado de no revelar sensible informacin. Puede encontrar ms informacin en la ISO/IEC 13335-1:2004. 1.2. Revisin de la poltica de seguridad de la informacin Control La poltica de seguridad de informacin debe revisarse a intervalos planificados o si cambios significativos se producen asegurar su continua idoneidad, adecuacin y eficacia. Gua de implementacin La poltica de seguridad de informacin debe tener un propietario que ha aprobado la responsabilidad de la gestin para el desarrollo, revisin y evaluacin de la poltica de seguridad. La revisin debe incluir evaluacin de oportunidades de mejora de la poltica de seguridad de la informacin de la organizacin y enfoque para administrar la seguridad de la informacin en respuesta a cambios en el clima organizacional, circunstancias de negocio, las condiciones legales o entorno tcnico. La revisin de la poltica de seguridad de la informacin debe tener en cuenta los resultados de gestin opiniones. Debe haber gestin definido los procedimientos de revisin, incluyendo un calendario o perodo de la revisin. La entrada a la revisin de la gestin debera incluir informacin sobre: a) Regeneracin de las partes interesadas; b) Resultados de revisiones independientes; c) Estado de acciones preventivas y correctivas; d) Resultados de exmenes de la gestin anterior; e) Proceso rendimiento e informacin cumplimiento polticas de seguridad; f) Los cambios que podran afectar el enfoque de la organizacin para administrar la seguridad de la informacin, incluidos los cambios en el clima organizacional, circunstancias de negocios, recursos disponibilidad, reglamentarias, contractual y condiciones legales, o para el entorno tcnico; g) Tendencias de relacionadas con las amenazas y vulnerabilidades; h) Incidentes de seguridad de la informacin reportada; i) Recomendaciones proporcionadas por las autoridades pertinentes. El resultado de la revisin de la gestin debe incluir las decisiones y acciones relacionadas con: a) Mejora del enfoque de la organizacin para administrar la seguridad de la informacin y sus procesos; b) Mejora de los objetivos de control y controles; c) Mejora en la asignacin de recursos y responsabilidades.