UNIVERSIDAD PRIVADA SAN FRANCISCO DE ASIS

CARRERA INGENIERIA DE SISTEMAS

“ISO/IEC 27005”

Materia: Auditoria de sistemas

Docente: Ing. Ricardo Medina

Estudiantes: David Saca

Alejandro Sensano

Angel Quisbert

La Paz – Bolivia

2018
 ii

CONTENIDO
ISO/IEC 27005................................................................................................................................... 3
1. Definición ................................................................................................................................... 3
2. ISO 27005 ................................................................................................................................... 3
3. Composición............................................................................................................................... 3
3.1 Clausulas ............................................................................................................................ 4
3.1.1 Objeto y campo de aplicación................................................................................... 4
3.1.2 Referencias normativas............................................................................................. 4
3.1.3 Términos y definiciones ............................................................................................ 4
3.1.4 Estructura .................................................................................................................. 4
3.1.5 Información general .................................................................................................. 4
3.1.6 Visión general ............................................................................................................ 4
3.1.7 Establecimiento del contexto .................................................................................... 4
3.1.8 Valoración del riesgo ................................................................................................. 5
3.1.9 Tratamiento del riesgo .............................................................................................. 5
3.1.10 Aceptación del riesgo ................................................................................................ 5
3.1.11 Comunicación de los riesgos de SI ........................................................................... 5
3.1.12 Monitoreo y revisión ................................................................................................. 5
3.2 Anexos ................................................................................................................................ 5
3.2.1 Anexo A - Alcance y limitaciones ............................................................................. 5
3.2.2 Anexo B - Identificación, evaluación de activos y valorización de impactos........ 6
3.2.3 Anexo C – Ejemplos de amenazas criticas .............................................................. 6
3.2.4 Anexo D – Vulnerabilidades y métodos para valorizar ......................................... 6
3.2.5 Anexo E – Aproximaciones a valorización RSI ...................................................... 6
3.2.6 Anexo F – Obligaciones para reducir de riesgos .................................................... 6
SITIOS WEB ..................................................................................................................................... 7
 3

ISO/IEC 27005

1. Definición

La norma ISO 27005 es un estándar internacional que contiene diferentes recomendaciones y

directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información.

2. ISO 27005

LA NORMA ISO 27005 CUMPLE CON UN ESTRUCTURADO,

SISTEMATICO, RIGUROS PROCESO PARA EL ANALISIS DE RIESGO

PARA CREAR UN PLAN DE RIESGO

LA NORMA ISO SE APLICA EN TODO TIPO DE ORGANIZACIONES O

EMPRESAS.

3. Composición

La norma ISO contiene 12 cláusulas y 6 anexos.

 4

3.1 Clausulas

3.1.1 Objeto y campo de aplicación

Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la

información en una organización y además dar soporte a la norma ISO 27001.

3.1.2 Referencias normativas

Son las normas ISO 27001 y la norma ISO 27002 es necesario estudiar las 3 normas para

un correcto entendimiento de todo el proceso.

3.1.3 Términos y definiciones

Observamos un listado de todos los términos y sus definiciones que son utilizados para

el correcto entendimiento de esta norma.

3.1.4 Estructura

La estructura de esta norma contiene la descripción de todos los procesos para la gestión

del riesgo en la seguridad de la información, las actividades que apoyan los procesos

deben estar estructurado en forma sistémica.

3.1.5 Información general

Es necesario establecer un enfoque sistémico para la gestión del riesgo.

3.1.6 Visión general

Se aprecia en el proceso RSI.

3.1.7 Establecimiento del contexto

Se define un alcance, se establecen características del negocio y criterios básicos para la

gestión del riesgo.

 5

3.1.8 Valoración del riesgo

Se identifican las amenazas y vulnerabilidad, también los controles existentes, los riesgos

se priorizan para el tratamiento de los riesgos de acuerdo a criterios establecidos.

3.1.9 Tratamiento del riesgo

Se establecen controles para reducir, retener, evitar o transferir los riesgos, de acuerdo a

un plan de tratamiento establecido.

3.1.10 Aceptación del riesgo

La organización acepta el riesgo con su valoración y su respectivo tratamiento..

3.1.11 Comunicación de los riesgos de SI

Se debe realizar durante todo el proceso y debe ser bidireccional, todos los integrantes de

la organización deben conocer los riesgos y estar al tanto de lo que ocurre en el proceso

que se lleva a cabo.

3.1.12 Monitoreo y revisión

Se debe hacer un seguimiento, monitoreo y revisión continúo del proceso de gestión del

riesgo.

3.2 Anexos

3.2.1 Anexo A - Alcance y limitaciones

Definir límites y alcances del proceso de gestión del riesgo en la seguridad de la

información, realizar un estudio de la organización.

 6

3.2.2 Anexo B - Identificación, evaluación de activos y valorización de impactos

Se realiza un inventario de activos y se caracterizan, que pueden ser activos primarios

actividades del negoción y activos secundarios hardware, software, redes.

3.2.3 Anexo C – Ejemplos de amenazas criticas

Amenaza comunes, que pueden ser deliberadas, accidentales o ambientales.

3.2.4 Anexo D – Vulnerabilidades y métodos para valorizar

Nos provee de una guía para buscar las vulnerabilidades dentro de la organizaron y como

tratarlas.

3.2.5 Anexo E – Aproximaciones a valorización RSI

Proporciona diferentes enfoques para la valoración del riesgo en la seguridad de la

información, procesos de identificación de activos, amenazas, vulnerabilidades y

determinar sus tratamientos.

3.2.6 Anexo F – Obligaciones para reducir de riesgos

Se trata de restricciones para la reducción del riesgo, al momento de implementar un

sistema de gestión de riesgo pueden ocurrir distintos tipos de restricciones.

 7

SITIOS WEB

• https://www.iso.org/isoiec-27001-information-security.html

• https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf

• https://www.pmg-ssi.com/2014/11/iso-270012015-un-cambio-en-la-integracion-de-los-

sistemas-de-gestion/

• https://www.pmg-ssi.com/2015/06/iso-27001-ciclo-de-deming/

• https://advisera.com/27001academy/es/knowledgebase/resumen-del-anexo-a-de-la-norma-iso-

270012013/

• https://www.pmg-ssi.com/2016/05/iso-27001-2013-pasos-seguir-evaluacion-riesgos/

• http://www.magazcitum.com.mx/?p=2397

• https://www.isotools.pe/diferencias-iso-27001-2005-y-iso-27001-2013/