Start a new topic and get direct answers from the Expert Advice Community.
CREATE NEW TOPIC +Search results
11275 results
Guest
Guest
Create New Topic As guest or Sign in
Assign topic to the user
-
Cumplimiento puntos 7.1 y 8.1 de la norma
Un favor adicional, para el cumplimiento del punto 7.1 y 8.1 de la norma, con qué tipo de evidencias generalmente se cumple este requerimiento?
Respuesta:
En relación al punto 7.1: Necesitas evidencias sobre recursos que la compañía tiene para el establecimiento, implementación, mantenimiento y mejora continua del SGSI. Por tanto, necesitas registros sobre personas: competencias (por ejemplo perfil de puestos), concienciación (por ejemplo registros de asistencia a cursos); recursos financieros (presupuestos); recursos de TI (planes de capacidad), etc.
En relación al punto 8.1: Necesitas registros sobre la aprobación de los objetivos de seguridad de la información, plan de proyecto, procesos externalizados y también necesitas registros sobre la aprobación de posibles cambios sobre estos.
Por último, este artículo sobre los documentos y registros que son obligatorios (y no obligatorios) puede ser interesante para ti "L ista de documentos obligatorios exigidos por la norma ISO 27001 (revisión 2013)" : https://advisera.com/27001academy/es/blog/2015/05/04/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/ -
BCM tools
https://hub.docker.com/r/buyessay/good_essay -
Download controls
iso 27001-2013, how to download the 14 control, i want control with description
Answer:
There are 114 controls structured in 14 domains, here you can see an overview of them Overview of ISO 27001:2013 Annex A : https://advisera.com/27001academy/iso-27001-controls/
And sorry but we have not a description of each control because you can see this information in the ISO 27001 standard. Furthermore we cannot give the full text of controls because this would break the intellectual property rights. So, you can buy the standard here : https://www.iso.org/standard/54534.html
Anyway, the Statement of Applicability has the applicability of each control, so this document can be also interesting for you. You can see it here (see a free version of the document clicking on Free Demo tab) Statement of Applicability https://advisera.com/27001academy/documentation/statement-of-applicability/ -
Estándares para Data Center
Requiero información sobre la norma ANSI/TIA-942, usted me puede colaborar con esto.
Respuesta:
No tenemos mucha información sobre ANSI/TIA-942, sólo se que está relacionada con Data Centers, pero no conozco muchas empresas en el mundo con esta certificación.
El estándar ISO más relacionado con Data Centers, porque está enfocado en gestión de Servicios de TI, es la ISO 20000. Por tanto, si estás interesado en esta ISO, puedes visitar nuestro blog: https://advisera.com/20000academy/
Y aquí puedes aprender más sobre ISO 20000 "¿Qué es ISO 20000?" : https://advisera.com/20000academy/es/que-es-iso-20000/ -
Information Security Policy or ISMS Policy?
Answer:
ISO 27001:2013 defines that the top-level policy should be called "Information Security Policy", however the old 2005 revision of ISO 27001 called this document "ISMS Policy".
See also this article: One Information Security Policy, or several policies? https://advisera.com/27001academy/blog/2013/06/18/one-information-security-policy-or-several-policies/ -
How RTO is calculated
I would like to know how RTO is calculated with the BIA toolkit.
Answer:
As you know, RTO is determined during the business impact analysis (BIA), so this article can be interesting for you How to implement business impact analysis (BIA) according to ISO 22301 : https://advisera.com/27001academy/knowledgebase/how-to-implement-business-impact-analysis-bia-according-to-iso-22301/
And also the tutorial How to Implement Business Impact Analysis According to ISO 22301 and BS 25999-2 : https://advisera.com/27001academy/knowledgebase/how-to-implement-business-impact-analysis-bia-according-to-iso-22301/ -
Advise clients to implement ISO 22301
How should I advise clients to begin adopting / implementing 22301?
Answer:
It is a good question. First of all, your clients need to see the benefits of the implementation/certification of the standard, so you will need a brief presentation (talking about compliance, marketing edge, lowering expenses, optimizing business processes, etc). And remember that it is very important that you need to talk with the top management, because they are the people who will approve the project.
Maybe this article can be interesting for you: ISO 22301 benefits: How to get your managements approval for a business continuity project : https://advisera.com/27001academy/knowledgebase/iso-22301-benefits-how-to-get-your-managements-approval-for-a-business-continuity-project/
Finally, this article can be also interesting for you "17 steps for implementing ISO 22301" : https://advisera.com/27001academy/knowledgebase/17-steps-for-implementing-iso-22301/22301/iso- 22301/
And also this free ebook "Becoming Resilient: The Definitive Guide to ISO 22301 Implementation" : https://advisera.com/books/becoming-resilient-the-definitive-guide-to-iso-22301-implementation/ -
Example of A.6.1.5 Information security in project management
Answer:
This article will help you: How to manage security in project management according to ISO 27001 A.6.1.5 https://advisera.com/27001academy/what-is-iso-27001/
In the toolkit we didn't develop separate documents for managing security in project management because you should use your regular policies and procedures for that purpose. For example, you shouldn't develop a separate Access Control Policy for project management - you should use your regular Access Control Policy for that purpose. -
Identification of requirements
We are currently working with a Global investment firm on an ISO 27001 implementation / certification project but they are struggling to identify a single list for the purpose of compliance with A15.1.1
As they are in many territories, it is difficult for them to identify a single list.
Have you a good idea how to solve this particular issue?
Answer:
First of all, if you have implemented the ISO 27001:2005 in your business and you have certified it, you need to adapt to the new version ISO 27001:2013 as soon as possible, because theoretically 2015 is the last year for the adaptation, after this the ISO 27001:2005 will not run (although you can always have implemented the old version, but you can not re-certify it). And keep in mind that our documents are developed for the new version.
Anyway, the control A.15.1.1, is the control A.18.1.1 in the new standard. This article, which is about international laws and regulations, can help you Laws and regulations on information security and business continuity : https://advisera.com/27001academy/knowledgebase/laws-regulations-information-security-business-continuity/
And remember that you can also use our template Procedure_for_identification_of_Requirements and Appendix_List_of_Legal_Regulatory_Contractual_and_Other_Requirements (you can find them in the folder 02 Procedure for Identification of Requirements) -
Escenarios en Continuidad de Negocio
¿Para el cumplimiento con el tema de continuidad del negocio hay situaciones específicas que deben ser revisadas o puedo, de acuerdo a las actividades del negocio, plantear mis escenarios y basado en estos generar mi plan de continuidad para ISO 27001?. Como ejemplo planteo que mis escenarios propuestos son la pérdida de confianza por el filtrado o publicación de información de un cliente, que pudiera resultar en una demanda civil, y también planteo la indisponibilidad de personal clave de la organización. Espero mi pregunta sea clara, pretendo llevar estos dos escenarios y su respectivo plan a mi documentación para ISO 27001. Gracias
Respuesta:
ISO 27001 no es muy específica en lo relativo a escenarios, por tanto para cumplir con el estándar podrías escribir un Plan de Continuidad de Negocio (Business Continuity Plan - BCP), o sólo un Plan de Recuperación ante Desastres (Disaster Recovery Plan - DRP). Ten en cuenta que son cosas diferentes, aquí puedes encontrar más información al respecto (en inglés) Disaster recovery vs Business continuity : https://advisera.com/27001academy/blog/2010/11/04/disaster-recovery-vs-business-continuity/
No obstante, puedes implementar tu plan basándote en tu negocio (y también en tu experiencia), aunque hay muchos escenarios que pueden ser comunes en cualquier situación (un ejemplo, el relacionado con la indisponibilidad de las personas/trabajadores).
Ten en cuenta también que la Continuidad de Negocio es tratada en profundidad en la ISO 22301, mientras que ISO 27001 está más relacionada con el Plan de Recuperación ante Desastres, lo cual está más relacionado con la infraestructura TI.
Por tanto, mi recomendación en tu caso es que uses el Plan de Recuperación ante Desastres porque es más "tecnológico", e igualmente puedes considerar el escenario relacionado con la indisponibilidad de tus empleados, pero creo que no es necesario que consideres el escenario relacionado con la publicación de información, porque no está directamente relacionado con la infraestructura TI. Pero importante, piensa que tus escenarios tienen que estar basados en los resultados del análisis de riesgos. También puedes ver nuestra plantilla (puedes ver una versión gratuita clickeando en "Demo gratis") "Ejemplos de escenarios de incidentes disruptivos" https://advisera.com/27001academy/es/documentation/ejemplos-de-escenarios-por-eventos-de-interrupcion-del-negocio/
Finalmente, también puedes ver nuestro tookit de documentos de ISO 22301 aquí: https://advisera.com/27001academy/es/paquete-de-documentos-sobre-iso-22301/ o nuestro paquete Premium, el cual incluye documentos sobre ISO 27001 e ISO 22301 (recuerda que siempre puedes ver una versión gratuita clickeando en "Demo gratis"): https://advisera.com/27001academy/es/paquete-premium-de-documentos-sobre-iso-27001-iso-22301/