Me podrían ayudar con las definiciones de:
· Que es una No conformidad en un Sistema de Gestión de Seguridad de la información
· Que es un incidente de seguridad de la información
Así mismo necesito que me den ejemplo de los indicadores que puedo llevar en un SGSI
Respuesta:
Claro, bienvenido a nuestro portal, a continuación te daré información sobre tus cuestiones, teniendo en cuenta las definiciones establecidas en la ISO 27000:2012 - Overview and vocabulary:
1.- No conformidad: "Es un incumplimiento de la norma". Por tanto, por ejemplo, un requisito de la ISO 27001 es tener un documento para la Declaración de Aplicabilidad (SoA), y el no tener este documento, puede dar lugar a una no conformidad. Por cierto, aquí puedes ver una lista de los documentos que son obligatorios (y no obligatorios) "Lista de documentos obligatorios exigidos por la norma ISO 27001 (revision 2013)" : https://advisera.com/27001academy/es/blog/2015/05/04/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/
2.- Incidente de seguridad de la información: "Evento o conjunto de eventos, inesperados o no deseados, de seguridad de la información y que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información". Por tanto, un incidente de seguridad de la información básicamente puede ser un evento negativo que puede afectar a la seguridad de la información de tu negocio.
En relación a los indicadores, este webinar gratuito puede ser de tu interés (en inglés) ISO 27001 and ISO 27004: How to measure the effectiveness of information security? : https://advisera.com/27001academy/webinar/iso-27001-iso-27004-measure-effectiveness-information-security-free-webinar/
Comment as guest or Sign in
Jan 12, 2016