¿En que consiste la Evaluación de Riesgos?

8 feb , 2012 by

Solicitar más Información Consultoría Normas ISO On Line

Implantando la Norma ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001, debemos considerar como eje central de este sistema la Evaluación de Riesgos. Este capítulo de la Norma, permitirá a la dirección de la empresa tener la visión necesaria para definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este sistema en la metodología de mejora continua, común para todas las normas ISO.

Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los requerimientos del negocio. Existen numerosas metodologías estandarizadas de evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

Evaluacion de Riesgos ISO 27001

Método de Evaluación y Tratamiento del Riesgo

 

      • 1.- Identificar los Activos de Información y sus responsables, entendiendo por activo todo aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos …) así como la marca, la reputación etc.
      • 2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo que lo hacen susceptible de sufrir ataques o daños.
      • 3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la información, tales como desastres naturales, incendios o ataques de virus, espionaje etc.
      • 4.- Identificar los requisitos legales y contractuales que la organización está obligada a cumplir con sus clientes, socios o proveedores.
      • 5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información, en relación a su disponibilidad, confidencialidad e integridad del mismo.
      • 6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados con prioridad.
      • 7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de los puntos anteriores y de la política definida por la dirección. En este punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irán orientados a :
        •  Asumir el riesgo
        •  Reducir el riesgo
        •  Eliminar el riesgo
        •  Transferir el riesgo

 

Compartir!

ENLACES DE INTERÉS
  • INGERTEC Asesoría en Normas ISO y Sistemas de Gestión
  • ISO 50001 Web sobre Eficiencia Energética
  • Ingerform Formación en Normas ISO y Sistemas de Gestión
  • Normas de Seguridad Alimentaria
  • Marcado CE: Todo lo que necesita sobre el Marcado CE
  • ISO 22716 Fabricación de Cosméticos
  • Inger Farma: Normativas Sector Químico y Farmacéutico
  • ISO 22301 Continuidad del Negocio
  • Presupuesto ON LINE Normas ISO

Dejenos su Comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Browse General

Total de Articulos Publicados: 176

 Suscribirse

Reciba en su email las publicaciones de:
Normas-iso.com

Suscribase Aqui: