lunes, 12 de marzo de 2012

ASI2 - ISO 27002: Dominio 7 - Gestión de Activos



Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 7 titulado Gestión de Activos. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:

7.1. Responsabilidad por los Activos:
Lograr mantener la protección adecuada de los activos de la organización.

Todos los activos se deben incluir y deben tener un dueño designado.

Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. La implementación de los controles específicos puede ser delegada por el dueño según el caso, pero él sigue siendo responsable de la protección adecuada de los activos.

7.2 Clasificación de la Información
Asegurar que la información recibe el nivel de protección adecuado.

La información se debería clasificar para indicar la necesidad, las prioridades y el grado esperado de protección al manejar la información.

La información tiene diferentes grados de sensibilidad e importancia. Algunos elementos pueden requerir un grado adicional de protección o manejo especial. Se recomienda utilizar un esquema de clasificación de la información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas especiales de manejo.

Resumiendo, el propósito de este dominio es el siguiente:

Proveer las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la Organización, así como controlar, generar responsabilidades, normas de uso y clasificación sobre los activos de información.


Detallando un poco más:

Responsabilidad por los activos
Según el Modelo Normativo de Seguridad de la Información todo activo de información, bajo la responsabilidad de la Organización, es decir información propia de la Organización o de entidades externas debe ser administrada y monitoreada.

Toda la información generada por la Organización debe estar disponible para funcionarios tanto externos como internos que requieran del acceso y consulta de ésta, siempre y cuando se manejen los controles de acceso y confidencialidad apropiados.

Se deben asignar responsabilidades en cuanto a la propiedad de los activos de información a usuarios encargados de mantener la integridad de la información. Es responsabilidad del administrador de la información asignar los respectivos controles de acceso a la información.

Clasificación de la información
Se debe realizar un análisis y valoración de la información manejada por la Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos legales, sensibilidad e importancia.

Una clasificación apropiada de la información garantiza la confidencialidad, integridad y disponibilidad de la información para la Organización.

Aquí básicamente se busca definir en cuanto a seguridad de la información muy claramente quien es responsable por que, bajo que circunstancias, etc; asi como tener una clasificación de la información que se maneje para saber que controles se deben tener en cuanta para garantizar la confidencialidad, integridad y disponibilidad de la información en una Organización.

No hay comentarios:

Publicar un comentario

Has tus comentarios