top of page
SGSI
Sistema de gestión de seguridad de la Información
D.2. Seleccionar los objetivos de control y controles
Propósito
Identificar las opciones para el tratamiento de riesgos como también la selección de los controles apropiados en relación con las opciones de tratamiento de riesgos.
Entradas
-
Salidas de la actividad D.1. Realizar la valoración de riesgos.
-
ISO/IEC 27005:2008.
-
ISO/IEC 27002:2005
Herramientas y técnicas
-
Juicio de expertos: Descrito en el punto A.3.
-
Reuniones: Descrito en el punto B.2.
-
Matrices de priorización: Descrito en el punto D.1.
-
Generación de alternativas: Técnica usada para desarrollar muchas opciones para identificar diferentes enfoques y así ejecutar el trabajo del proyecto.
Recomendaciones
Para ejecutar este proceso se recomienda revisar ISO/IEC 27001:2005 Anexo A “Control objectives and controls”. La gestión de la relación entre los riesgos y los objetivos de control seleccionados junto a sus controles son de gran importancia para el diseño de la implementación del SGSI para la mitigación de los riesgos.
Se debe tener diligencia en que los controles podrían contener información sensible. Por tanto, en la ejecución del proyecto SGSI esto debe mantenerse con estricta confidencialidad.
Revisar el anexo 60. Planificación de remediación e informes de cumplimiento.
Salidas
-
Lista de controles seleccionados y objetivos de control.
-
Plan de tratamiento de riesgos.
bottom of page