Guest
Guest
Create New Topic As guest or Sign in
Assign topic to the user
-
¿Quien revisa y aprueba documentos?
quien debe Revisar y Aprobar los documentos??? En mi empresa existe un miembro del Consejo de Administración y mi persona como responsable de seguridad de la información.... Pero mi duda es esa Quien Revisa y Aprueba los documentos....?? -
Understanding ISO 27001
I felt that having MBA degree I may not be able to fully learn ISO 27001 especially the areas related to networking and penetration testing. -
Protecting a network
Our office in Norway has a shared switch with another company. Only the other company has access to this switch and we see this as a potential risk that we want to minimize, but we don’t really know what the best solution is. -
Management representative in ISMS
My question is about roles and responsibilities in 27001. What do you think Management Representative's (MR) position in ISMS. If we have CISO, Do we still need MR. If we have both of them, what is the difference between their responsibilities. -
Maximum Allowable Outage
Hi...if the financial impact produces a high result and the non-financial impact produces a marginal result or no result at all, what would be the MAO? -
La Política de Seguridad de la Información
He recibido la siguiente pregunta: La política de seguridad de la información que incluye el paquete de documentos se puede clasificar como pública?? Además sería necesario implementar otras políticas de alto nivel como por ejemplo la “Política de Seguridad” (Generál), y la Política del SGSI?? Respuesta: "Pública" significa que puede ser visto por todo el mundo, y aunque algunas empresas definen este documento como público, publicándolo en sus páginas webs, a mi no me gusta, porque el documento puede mostrar información sobre la organización que puede ser utilizada por atacantes (soy hacker etico, y puedo usar esta información para preparar un ataque). Por tanto, mi recomendación es clasificar este documento como "Interno". Más información: "Information classification according to ISO 27001" https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/ Con respecto al documento de la política, recomiento tener 1 única Política de Seguridad de la Información. Esto te puede interesar: "One Information Security Policy, or several p olicies?" https://advisera.com/27001academy/blog/2013/06/18/one-information-security-policy-or-several-policies/ Y también te puede interesar esto: "Política de seguridad de la información: ¿Qué nivel de detalle debería de tener?" https://advisera.com/27001academy/es/blog/2010/05/26/politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener/ Y puedes descargarte una versión gratuita del documento aquí : https://advisera.com/27001academy/es/documentation/politica-del-sgsi/ -
Aplicar ISO 27001 y OWASP
He recibido la siguiente pregunta: En mi empresa el principal problema es que queremos aplicarlo la ISO 27001 con owasp para mejorar el aseguramiento de la seguridad en el proceso de desarrollo de aplicaiones web. no sabemos si es correcto o talvez aplciar otra ISO? Respuesta: Es correcto, puedes aplicar ISO 27001 con OWASP. El principal objetivo de ISO 27001 es la protección de la información, y para esto, el estándar usa la gestión de riesgos, que está compuesta por el análisis de riesgos y el tratamiento de riesgos. Por tanto, básicamente, para la protección de la información, tienes que identificar riesgos, y después tienes que tratarlos. Para el tratamiento de riesgos, ISO 27001 tiene el anexo A con 114 controles de seguridad, y existen controles específicos para el desarrollo software (en el dominio A.14), que pueden ser complementados con OWASP, que básicamente es un marco de trabajo para el desarrollo seguro. Este artículo sobre como integrar ISO 27001 con el ciclo de vida de desarrollo software te puede interesar: https://advisera.com/27001academy/how-to-integrate-iso-27001-controls-into-the-system-software-development-life-cycle-sdlc/ -
ISO27001/002/005 and EU GDPR plus PCI-DS
I am tasked with spearheading our compliance efforts. I've worked some years in computing security, but this task is new and is driven by a need to comply with requirements of a new contract the company is in the last phases of winning. The company size is around 100 employees. We also have 1099 contract workers. I think your ISO27001 and EUGDPR toolkit will help us, but do you also have a toolkit for PCI-DSS or can recommend a good one? -
Mandatory documents for ISO 27001
In the document 01.2_Project_Plan_Integrated_EN, under the Paragraph 3.2 Project results, we see a list of documents that seem to be compliant with both ISO and GDPR. Is it possible to know which of them are mandatory just for the ISO 27001? -
Organizing IT area
IT area is a chaos, it has different subareas (Service desk, infrastructure, security, information security) each area works alone and each area takes its own decisions according its criteria and of course, you can imagine the impact to the organization.