1. 1.-Identificar los Activos de Información y sus responsables. 2.- Identificar las Vulnerabilidades de cada activo. 3.– Identificar las amenazas. 4.- Identificar los requisitos legales. 5.- Identificar los riesgos. 6.- Cálculo del riesgo. 7.- Plan de tratamiento del riesgo Asumir el riesgo Reducir el riesgo Eliminar el riesgo Transferir el riesgo
2. Iso 27002
2.1. Guia de practicas que describe los objetivos de control y controles de la segurizad informatica
2.1.1. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
2.1.2. Estructura: 1.Política de seguridad. 2.Aspectos organizativos de la seguridad de la información. 3.Gestión de activos. 4.Seguridad ligada a los recursos humanos. 5.Seguridad física y ambiental. 6.Gestión de comunicaciones y operaciones. 7.Control de acceso. 8.Adquisición, desarrollo y mantenimiento de los sistemas de información. 9.Gestión de incidentes en la seguridad de la información. 10.Gestión de la continuidad del negocio. 11.Cumplimiento.
2.1.3. Va orientado a la seguridad de la información en las empresas u organizaciones.
3. Iso 27001
3.1. Norma para gestionar la seguridad de la informacion de la empresa.
3.1.1. Establece: -una guía para la evaluacion de riesgos. -Metricas para evaluar cada riesgo.
3.1.2. Se basa en el ciclo Deming: -Actuar -Planificar -Verificar -Hacer