Scribd
Cargar
25 vistas4 páginas

Proceso de Gestión de Riesgos ISO 27001

El documento propone un proceso de gestión de riesgos dividido en tres etapas: preparación, valoración y tratamiento, siguiendo las cláusulas 6.1.2 y 6.1.3. En la etapa de preparación, se definen niveles y criterios de aceptación del riesgo, mientras que la etapa de valoración incluye la creación de un inventario de activos y un análisis de riesgos. Finalmente, se establece que los activos categorizados como Medio, Alto y Muy Alto serán considerados para el análisis de riesgos.

Cargado por

carlos colquepisco
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
25 vistas4 páginas

Proceso de Gestión de Riesgos ISO 27001

El documento propone un proceso de gestión de riesgos dividido en tres etapas: preparación, valoración y tratamiento, siguiendo las cláusulas 6.1.2 y 6.1.3. En la etapa de preparación, se definen niveles y criterios de aceptación del riesgo, mientras que la etapa de valoración incluye la creación de un inventario de activos y un análisis de riesgos. Finalmente, se establece que los activos categorizados como Medio, Alto y Muy Alto serán considerados para el análisis de riesgos.

Cargado por

carlos colquepisco
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Proceso de gestión de riesgos

Se procede a continuación a proponer un proceso de gestión de riesgos según las


consideraciones de la cláusula 6.1.2 y 6.1.3:

1. Etapa de preparación
a. Nivel y Criterios de aceptación
Se define el nivel de aceptación y criterios de aceptación del riesgo

2. Etapa de valoración
a. Inventario de activos
b. Análisis de Riesgos
i. Amenazas
ii. Vulnerabilidades
iii. Probabilidades
c. Evaluación de Riesgos

3. Etapa de Tratamiento

DIAGRAMA DE ETAPAS DEL PROCESO SEGÚN ISO 27001


2.1.Etapa de Preparación

Nivel de aceptación

Se propone para la empresa -- XXXXXXXX -- la escala de nivel de riesgos: Bajo,


Moderado, Alto, Extremo.

Se propone considerar aceptable un riesgo en los niveles en la categorización de


tipo Bajo, estos riesgos no causarían un impacto significativo en los procesos
críticos del negocio. Todos los siguientes riesgos deberán ingresar al proceso de
tratamiento de riesgos, en excepción con los mencionados en la sección de
criterios de aceptación.

Criterios de aceptación

Para los niveles de riesgo Medio, Alto y Extremo podrán ser considerados
aceptados y no ser considerados en el tratamiento de riesgos:

- Cuando el costo del tratamiento del riesgo sea mayor a la pérdida que esta
genere.
- Cuando el costo del tratamiento se encuentra sujeto a recortes de
presupuesto por situaciones de crisis o emergencia.
- Cuando el costo del tratamiento es rechazado explícitamente por la
Gerencia General o Alta Dirección, esta debe de sustentarse con la
notificación expresa y el riesgo que se asume.

2.2.Etapa de Valoración

Inventario de activos

Se debe realizar este inventario en un nivel de detalle con información suficiente


para realizar la evaluación de riesgos. Pero debe limitarse a aquellos de mayor
valor para la organización. Todos los activos estarán categorizados en una tabla de
valoración del 1 a 5 (Muy Bajo hasta Muy Alto)

Se propone un cuadro con los siguientes campos para el inventario:

- Código del activo

- Nombre de Activo

- Categoría
o Información (electrónica o escrita)
o Hardware
o Software
o Personal (clientes, personal, externo)
o Sitio
o Servicio (Procesamiento, comunicaciones, generales)
- Tipo de ubicación
o Físico
o Lógica

- Frecuencia
o Diario
o Semanal
o Mensual
o Anual
o Eventual

- Clasificación
o Público
o Interno
o Confidencial
o Restringido

- Valor del activo

o 1 – Muy Bajo
Es de carácter público, se puede tolerar pérdida parcial

o 2 – Bajo
No es confidencial, pero requiere disponibilidad

o 3 – Medio
Contiene algunos componentes confidenciales, requiere
disponibilidad e integridad

o 4 – Alto
Disponibilidad alta e integridad, Carácter confidencial

o 5 – Muy Alto
Total disponibilidad e integridad. Acceso alta Dirección

Los activos para ser considerados en la actividad de análisis de riesgos serían todos
los activos categorizados como Medio, Alto y Muy Alto.

Análisis de Riesgos

Con el inventario de activos se procede a identificar los activos seleccionados y


continuar a realizar la actividad de análisis de riesgos. Sobre estos activos se debe
identificar lo siguiente:

- Amenazas
La identificación de amenazas sería aplicada a los activos seleccionados
según su nivel de valoración. Las amenazas pueden ser obtenidas a través

También podría gustarte