Cláusulas ISO 27001:2022
Sistema de Gestión de Seguridad de la Información
VGO Ingeniería S.A.
0 resultados encontrados para ""
4.1 Comprensión de la organización y de su contexto
Determinar las cuestiones externas e internas que son pertinentes para el propósito de la organización y que afectan su capacidad para lograr los resultados previstos del SGSI.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
Determinar las partes interesadas relevantes para el SGSI y sus requisitos relacionados con la seguridad de la información.
4.3 Determinación del alcance del SGSI
Establecer los límites y aplicabilidad del SGSI considerando las cuestiones internas y externas, los requisitos de las partes interesadas y las interfaces y dependencias entre las actividades realizadas por la organización.
4.4 Sistema de gestión de seguridad de la información
Establecer, implementar, mantener y mejorar continuamente un SGSI de acuerdo con los requisitos de esta Norma Internacional.
5.1 Liderazgo y compromiso
La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI.
5.2 Política
La alta dirección debe establecer una política de seguridad de la información que sea apropiada para el propósito de la organización.
5.3 Roles, responsabilidades y autoridades en la organización
La alta dirección debe asegurarse de que se asignen y comuniquen las responsabilidades y autoridades para los roles pertinentes.
6.1 Acciones para abordar riesgos y oportunidades
Planificar acciones para abordar riesgos y oportunidades relacionadas con la seguridad de la información.
6.1.2 Evaluación de riesgos de seguridad de la información
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información.
6.1.3 Tratamiento de riesgos de seguridad de la información
La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información.
6.2 Objetivos de seguridad de la información y planificación para lograrlos
La organización debe establecer objetivos de seguridad de la información en las funciones y niveles pertinentes.
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI.
7.2 Competencia
La organización debe determinar la competencia necesaria del personal que afecta el desempeño del SGSI.
7.3 Toma de conciencia
El personal debe ser consciente de la política de seguridad de la información, su contribución a la eficacia del SGSI y las consecuencias del incumplimiento.
7.4 Comunicación
La organización debe determinar las necesidades de comunicación interna y externa relacionadas con el SGSI.
8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información.
8.2 Evaluación de riesgos de seguridad de la información
La organización debe realizar evaluaciones de riesgos de seguridad de la información a intervalos planificados.
8.3 Tratamiento de riesgos de seguridad de la información
La organización debe implementar el plan de tratamiento de riesgos de seguridad de la información.
9.1 Seguimiento, medición, análisis y evaluación
La organización debe determinar qué necesita seguir y medir, los métodos para asegurar resultados válidos.
9.2 Auditoría interna
La organización debe conducir auditorías internas a intervalos planificados para verificar la conformidad del SGSI.
9.3 Revisión por la dirección
La alta dirección debe revisar el SGSI a intervalos planificados para asegurar su conveniencia, adecuación y eficacia continua.
10.1 Mejora continua
La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
10.2 No conformidad y acción correctiva
Cuando ocurra una no conformidad, la organización debe reaccionar ante ella y tomar acciones para controlarla y corregirla.
Controles de Referencia
El Anexo A contiene una lista exhaustiva de controles que se utilizan como referencia para tratar los riesgos de seguridad de la información identificados durante el proceso de evaluación.
A.5 Controles organizativos
Controles relacionados con la gobernanza de la seguridad de la información y la estructura organizativa.
A.6 Controles de personas
Controles relacionados con el factor humano en la seguridad de la información y la concienciación.
A.7 Controles físicos
Controles relacionados con la seguridad física de los activos de información y las instalaciones.
A.8 Controles tecnológicos
Controles relacionados con la seguridad de la tecnología de la información y las comunicaciones.