ISO 27001: 6.1. Acciones para tratar riesgos y oportunidades

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

6.1. Acciones para tratar riesgos y oportunidades

6.1. Acciones para tratar riesgos y oportunidades

6.1.1 Generalidades

Al planificar el sistema de Gestión de Seguridad de la Información, la empresa debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2 y determinar los riesgos y oportunidades que es necesario tratar, con el fin de:

a) Asegurarse de que el Sistema de Gestión de Seguridad de la Información pueda conseguir los resultados esperados
b) Prevenir o reducir efectos indeseados
c) Logara la mejora continua
La empresa debe planificar:
a) Las acciones para tratar estos riesgos y oportunidades
b) La manera de integrar e implantar estas acciones en sus procesos del Sistema de Gestión de Seguridad de la Información, además evaluar la eficiencia de las acciones

6.1.2 Valoración de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información que:

a) Establecer y mantener los criterios de los riesgos en la seguridad de la información
b) Asegurarse de que las valoraciones repetidas de riesgos de la seguridad de la información produzcan resultados consistentes, válidos y comparables
c) Identificar los riesgos de la seguridad de la información
d) Analizar los riesgos de la seguridad de la información
e) Evaluar los riesgos de seguridad de la información

La empresa debe conservar información documentada sobre el proceso de valoración de riesgos de la seguridad de la información.

6.1.3 Tratamiento de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de la información, se deben tener en cuenta los resultados de la valoración de riesgos
b) Determinar todos los controles que sean necesarios para implantar las opciones escogidas para el tratamiento de riesgo de la seguridad de la información
c) Producir una declaración de aplicabilidad que contenga los controles necesarios y la justificación de las inclusiones, ya sea que se implementen o no, y la justificación para las exclusiones de los controles del Anexo A
d) Formular un plan de tratamiento de riesgo de la seguridad de la información
e) Obtener la aprobación del plan de tratamiento de riesgo de la seguridad de la información y la aceptación de los riesgos residuales de la seguridad de la información

La empresa debe conservar información documentada sobre el proceso de tratamiento de riesgos de la seguridad de la información.