Menú Cerrar

Gap Analysis (Iso 27001)

NewNet ofrece el servicio donde se requiere realizar por medio de una consultoría el diagnostico actual del nivel de cumplimiento en Seguridad de la Información de cada cliente, mediante un Análisis de Brecha (GAP) bajo los lineamientos y requerimientos mínimos establecidos de la Norma Internacional ISO/IEC 27001:2013.

Características del Gap Analysis (ISO 27001)

El análisis se hace en dos partes: primero el análisis de los requerimientos exigidos en la norma ISO/IEC 27001:2013, y segundo el análisis de los controles descritos en el Anexo A de la norma ISO/IEC 27001:2013 y distribuidos en catorce (14) dominios.

Los requisitos exigidos por la norma se enmarcan en los siguiente numerales:

  • Contexto de la Organización
    Liderazgo
  • Planificación
  • Apoyo
  • Operación
  • Evaluación de desempeño
    Mejora

Los 14 dominios de la norma ISO/IEC 27001:2013 son:

  • Políticas de la Seguridad de la Información. Considera las políticas, normas y procedimientos relacionados con la posición de la organización en cuanto a la Seguridad de la Información.
  • Organización de la seguridad de la información. Contempla aspectos como la estructura organizacional, la asignación de responsabilidades y consideraciones de los riesgos relacionados con partes externas, y la computación móvil y el trabajo remoto.
  • Seguridad de los Recursos Humanos. Incluye el proceso de selección, los términos y condiciones laborales (manuales de funciones y responsabilidades de los empleados y usuarios), la educación y formación en seguridad, el proceso disciplinario (leyes, resoluciones, reglamentos, etc.) y la terminación de la relación laboral.
  • Gestión de activos. Hace referencia al inventario, clasificación y uso aceptable de los activos de información.
  • Control de acceso. Incluye aspectos como la gestión de usuarios (registro, privilegios, contraseñas), las responsabilidades de los usuarios (uso de contraseñas)
  • Criptografía: Está orientado al uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad o integridad de la información.
  • Seguridad física y del entorno. Hace referencia al acceso físico, la seguridad de las oficinas, la protección contra amenazas ambientales y disturbios de orden público, la seguridad y mantenimiento de los equipos y del cableado, el servicio de suministro y la reutilización y destrucción de equipos.
  • Seguridad de las operaciones. Contempla los procedimientos operacionales (gestión del cambio, documentación, copias de respaldo, planificación y criterios de aceptación de los sistemas, manejo de los medios de almacenamiento removibles, etc.)
  • Seguridad de las comunicaciones: Contempla los procedimientos para la seguridad en redes y el seguimiento (monitoreo) de los sistemas de información y la seguridad en el intercambio de información.
  • Adquisición, desarrollo y mantenimiento de sistemas: Hace referencia a los requisitos de seguridad y validación del sistema (datos de entrada y salida, procesamiento, integridad), cifrado, protección de los datos de prueba y del código fuente, en los procesos de adquisición y desarrollo de sistemas de información.
  • Relaciones con los proveedores: Se refiere a la seguridad de la información en las relaciones con proveedores y la gestión de entrega del servicio.
  • Gestión de incidentes de Seguridad de la Información Establece lo referente a los incidentes de seguridad de la información, como la identificación, las responsabilidades y procedimientos y el manejo de evidencia, entre otros.
  • Aspectos de seguridad de la información de la gestión de continuidad del negocio. Relacionado con los aspectos de seguridad de la información en los planes de continuidad, contingencia y de recuperación de desastres.
  • Cumplimiento. Contempla la revisión del cumplimiento de la normatividad interna y los requisitos legales aplicables (legislación aplicable, derechos de propiedad intelectual, etc.).
Beneficios del Gap Analysis (ISO 27001)

Realizado el análisis, se tiene como resultado las observaciones identificadas a cada uno de los requisitos y controles de la norma, afín de tener los elementos de evaluación suficientes para asignar el nivel de madurez y recomendación.

 

    Contáctanos












    ACEPTA las políticas de datos personales, Consúltelas Aquí