1. Antecedentes.
1.1. Existen diferentes estándares para gestionar la seguridad de la información.
1.1.1. ISO/IEC 27000
1.1.1.1. Es un marco de trabajo universal para cada tipo de organización
1.1.1.1.1. Una organización debe restringir los dominios, los objetivos de control y los controles que se aplican a su entorno y sus operaciones
1.1.1.2. Describe la implementación de un sistema de administración de seguridad de la información. (ISMS)
1.1.1.2.1. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura dentro de una organización.
1.1.1.3. Está formado por doce dominios independientes.
1.1.1.3.1. Evaluación de riesgos.
1.1.1.3.2. Política de seguridad.
1.1.1.3.3. Organización de la seguridad informática.
1.1.1.3.4. Gestión de activos.
1.1.1.3.5. Seguridad de los recursos humanos.
1.1.1.3.6. Seguridad física y medioambiental
1.1.1.3.7. Administración de operaciones y Comunicaciones.
1.1.1.3.8. Adquisición, Desarrollo y mantenimiento de sistemas informáticos
1.1.1.3.9. Control de Acceso
1.1.1.3.10. Administración de incidentes de seguridad informática
1.1.1.3.11. Administración de la continuidad empresarial
1.1.1.3.12. Cumplimiento
1.1.1.4. El equipo de administración de una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas de seguridad de la organización
1.1.2. UNE/ISO 27001
1.1.2.1. Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar.
1.1.2.1.1. Los objetivos de control proporcionan una lista de comprobación para utilizar durante las auditorias de administración de seguridad.
1.1.2.2. Esta norma establece un enfoque por procesos basado en el ciclo Deming.
1.1.2.2.1. plantea la gestión de la seguridad como un proceso de mejora continua, a partir de la repetición cíclica de cuatro fases.