NP-NM ISO/IEC 27005

OBJETO

Esta Norma provee directrices para la gestión del riesgo de seguridad de la información. Esta Norma apoya los conceptos generales establecidos en NM ISO/IEC 27001 y esta diseñada para asistir en la implantación satisfactoria de la seguridad de la información basada en un enfoque de gestión del riesgo.

El conocimiento de los conceptos, de los modelos, de los procesos y de las terminologías descritas en NM ISO/IEC 27001 e NM ISO/IEC 27002 es importante para una comprensión total de esta Norma.

Esta Norma es aplicable a todo tipo de organización (es decir, empresas comerciales, organismos gubernamentales, organizaciones sin fines de lucro), que se proponen gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.

INDICE

Índice
Prefacio
Introducción
1. Objeto
2. Referencias normativas
3. Términos y definiciones
4. Estructura de esta Norma
5. Antecedentes (Background)
6. Descripción del proceso de gestión del riesgo de seguridad de la información
7. Establecimiento del contexto
8. Evaluación del riesgo de seguridad de la información
9. Tratamiento del riesgo de seguridad de la información
10. Aceptación del riesgo de seguridad de la información
11. Comunicación del riesgo de seguridad de la información
12. Seguimiento (monitoring) y revisión del riesgo de seguridad de la información
Anexo A (informativo) Definición del alcance y límites del proceso de gestión del riesgo de seguridad de la información
Anexo B (informativo) Identificación y valoración de activos y evaluación de impacto
Anexo C (informativo) Ejemplos de amenazas típicas
Anexo D (informativo) Vulnerabilidades y métodos para evaluación de vulnerabilidades
Anexo E (informativo) Enfoques a la evaluación del riesgo de seguridad de la información
Anexo F (informativo) Restricciones para la reducción del riesgo
Bibliografía