Saltar al contenido principal

6.1. Acciones para tratar riesgos y oportunidades 2013

6.1. Acciones para tratar riesgos y oportunidades

6.1.1 Generalidades

Al planificar el sistema de Gestión de Seguridad de la Información, la empresa debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2 y determinar los riesgos y oportunidades que es necesario tratar, con el fin de:

a) Asegurarse de que el Sistema de Gestión de Seguridad de la Información pueda conseguir los resultados esperados
b) Prevenir o reducir efectos indeseados
c) Logara la mejora continua
La empresa debe planificar:
a) Las acciones para tratar estos riesgos y oportunidades
b) La manera de integrar e implantar estas acciones en sus procesos del Sistema de Gestión de Seguridad de la Información, además evaluar la eficiencia de las acciones

6.1.2 Valoración de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información que:

a) Establecer y mantener los criterios de los riesgos en la seguridad de la información
b) Asegurarse de que las valoraciones repetidas de riesgos de la seguridad de la información produzcan resultados consistentes, válidos y comparables
c) Identificar los riesgos de la seguridad de la información
d) Analizar los riesgos de la seguridad de la información
e) Evaluar los riesgos de seguridad de la información

La empresa debe conservar información documentada sobre el proceso de valoración de riesgos de la seguridad de la información.

6.1.3 Tratamiento de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de la información, se deben tener en cuenta los resultados de la valoración de riesgos
b) Determinar todos los controles que sean necesarios para implantar las opciones escogidas para el tratamiento de riesgo de la seguridad de la información
c) Producir una declaración de aplicabilidad que contenga los controles necesarios y la justificación de las inclusiones, ya sea que se implementen o no, y la justificación para las exclusiones de los controles del Anexo A
d) Formular un plan de tratamiento de riesgo de la seguridad de la información
e) Obtener la aprobación del plan de tratamiento de riesgo de la seguridad de la información y la aceptación de los riesgos residuales de la seguridad de la información

La empresa debe conservar información documentada sobre el proceso de tratamiento de riesgos de la seguridad de la información.

Artículos relacionados

Artículos relacionados

Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba