CAPITULO 3
3. ESTRUCTURA DE ESTA NORMA
Esta norma contiene once secciones sobre controles de seguridad
que en conjunto tienen un total de 39 categorías principales de seguridad y una
sección de introducción a la evaluación y el tratamiento del riesgo.
3.1 CLÁUSULAS
Cada cláusula contiene una cantidad de categorías principales
de seguridad. Estas once cláusulas (acompañadas por la cantidad de categorías
principales de seguridad incluida en cada numeral) son:
a) Política de seguridad (1).
b) Organización de la seguridad de la información (2).
c) Gestión de activos (2).
d) Seguridad de los recursos humanos (3).
e) Seguridad física y del entorno (2).
f) Gestión de operaciones y comunicaciones (10).
g) Control del acceso (7).
h) Adquisición, desarrollo y mantenimiento de sistemas de
información (6).
i) Gestión de los incidentes de seguridad de la información
(2).
j) Gestión de la continuidad del negocio (1).
k) Cumplimiento (3).
NOTA El orden de las cláusulas no implica su importancia.
Dependiendo de las circunstancias, todos las cláusulas podrían ser importantes,
por lo tanto cada organización que aplique esta norma debería identificar las
cláusulas aplicables, su importancia y su aplicación a procesos individuales
del negocio. Igualmente, ninguna de las listas de esta norma está en orden
prioritario, a menos que así se indique.
3.2 CATEGORÍAS
PRINCIPALES DE SEGURIDAD
Cada categoría principal de seguridad contiene:
a) un objetivo de control que establece lo que se debe
lograr;
b) uno o más controles que se pueden aplicar para lograr el
objetivo de control.
Las descripciones de los controles tienen la siguiente
estructura:
Control
Define la declaración específica del control para cumplir el
objetivo de control.
Guía de implementación
Suministra información más detallada para apoyar la
implementación del control y satisfacer el objetivo de control. Algunas partes
de esta guía pueden no ser adecuadas en todos los casos y por ello pueden ser
más apropiadas otras formas de implementación del control.
Información adicional
Suministra información que puede ser necesario considerar, por
ejemplo las consideraciones legales y las referencias a otras normas.
No hay comentarios:
Publicar un comentario