Descripción: Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 7 titulado Gestión de Activos. Que...
Sistemas de gestión de la seguridad de la información
check list
Descripción completa
Descripción: Preguntas Auditorías ISO27001
check list
Activos
Trabajos de conbtabilidadDescripción completa
activos fijos
Descripción completa
Descripción: lavado de activs
Denuncia Lavado de Activos
ISO 27001 e ISO 27002: Dominio 7 - Gestión de Activos
Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 7 titulado Gestión de Activos. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:
7.1. Resp Responsa onsabil bil i dad por l os Acti vos: vos: Lograr mantener mantener la protección protección adecuada de los activos activos de la organización. organización.
Todos los activos se deben incluir y deben tener un dueño designado. Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. La implementación de los controles específicos puede ser delegada por el dueño según el caso, pero él sigue siendo responsable responsable de la protección protección adecuada de los activos.
7.2 Clasifi Clasifi cación cación de la I nf ormación Asegurar que la información información recibe el nivel nivel de protección protección adecuado. adecuado.
La información información se debería clasificar para para indicar la necesidad, necesidad, las las prioridades y el grado esperado esperado de protección al manejar la información.
La información tiene diferentes diferentes grados de sensibilidad sensibilidad e importancia. Algunos elementos elementos pueden requerir un grado adicional de protección o manejo especial. Se recomienda utilizar un esquema de clasificación de la información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas especiales de manejo.
Resumiendo, el propósito de este dominio es el siguiente:
Proveer las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la Organización, así como controlar, generar responsabilidades, normas de uso y clasificación sobre los activos de información.
Detallando un poco más: Responsabili dad por los activos Según el Modelo Normativo de Seguridad de la Información todo activo de información, bajo la responsabilidad de la Organización, es decir información propia de la Organización o de entidades externas debe ser administrada y monitoreada.
Toda la información generada por la Organización debe estar disponible para funcionarios tanto externos como internos que requieran del acceso y consulta de ésta, siempre y cuando se manejen los controles de acceso y confidencialidad apropiados. Se deben asignar responsabilidades en cuanto a la propiedad de los activos de información a usuarios encargados de mantener la integridad de la información. Es responsabilidad del administrador de la información asignar los respectivos controles de acceso a la información.
Clasifi cación de la i nf ormación Se debe realizar un análisis y valoración de la información manejada por la Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos legales, sensibilidad e importancia.
Una clasificación apropiada de la información garantiza la confidencialidad, integridad y disponibilidad de la información para la Organización. Aquí básicamente se busca definir en cuanto a seguridad de la información muy claramente quien es responsable por que, bajo que circunstancias, etc; asi como tener una clasificación de la información que se maneje para saber que controles se deben tener en cuanta para garantizar la confidencialidad, integridad y disponibilidad de la información en una Organización.