Principios para los profesionales de Seguridad de la Informacin A apoyar a la empresa Objetivo Descripcin Para garantizar que la seguridad Los

individuos dentro de la comunidad de seguridad deben forjar de informacin se integra en las relaciones con lderes de negocios y cmo lo puede complementar la actividades esenciales de informacin de seguridad clave de negocio y procesos de gestin de negocio. riesgos. Se debe adoptar un enfoque de asesoramiento a seguridad de la informacin mediante el apoyo a los objetivos de negocio a travs de la asignacin de recursos, programas y proyectos. Alto nivel de la empresa centrada en los dictmenes debern ser siempre para proteger la informacin y ayudar a gestionar el riesgo de la informacin, tanto ahora como en el futuro. Para garantizar la seguridad de la informacin que aporta valor y cumple con los requerimientos del negocio. Grupos de inters interno y externo deben participar a travs de la comunicacin regular de modo que sus necesidades cambiantes de seguridad de la informacin pueden seguir siendo satisfechas. Promover el valor de la seguridad de la informacin (tanto financiera como no financiera) ayuda a obtener apoyo para la toma de decisiones, que a su vez puede contribuir al xito de la visin de la seguridad de la informacin. Obligaciones de cumplimiento deben ser identificados, se tradujo en los requisitos especficos de seguridad de la informacin y comunicarse a todas las personas pertinentes. Las sanciones asociadas con el incumplimiento debe ser claramente entendido. Los controles deben ser controlados, analizados y puesta al da para cumplir con requisitos legales o reglamentarios nuevos o actualizados. Requisitos para el suministro de informacin sobre el desempeo de seguridad deben estar claramente definidos, con el apoyo de las mtricas de seguridad ms relevantes y precisas (como el cumplimiento de los incidentes, el estado de control y los costos) y se alinea con los objetivos empresariales. La informacin debe ser capturada de manera peridica, coherente y lgica, para que la informacin se mantenga exacta y los resultados pueden ser presentados para cumplir los objetivos de los interesados.

Principio A.I Centrarse en el negocio

A.2 Entregar calidad y valor para los interesados

A.3 Cumplir con las legales pertinentes y los requisitos reglamentarios

Para asegurarse de que las obligaciones legales se cumplen, las expectativas de los interesados se gestionan y sanciones civiles o penales se evitan. Para apoyar los requerimientos del negocio y gestionar los riesgos de la informacin.

A.4 Proporcionar informacin precisa y oportuna sobre el desempeo de seguridad

Reference: ISF 10 ISP Copyright 2010 Information Security Forum Limited. All rights reserved.

Principio A.5 Evaluar las amenazas actuales y futuras de la informacin

Objetivo Para analizar y evaluar las nuevas amenazas de seguridad de informacin para que la accin informada y oportuna para mitigar los riesgos se pueden tomar. Para reducir costos, mejorar la eficiencia y eficacia, y promover una cultura de mejora continua de la seguridad de la informacin.

Descripcin Principales tendencias y amenazas especficas de seguridad de la informacin deben ser clasificadas en un marco amplio y estndar que cubre una amplia gama de temas tales como cuestiones polticas, jurdicas, econmicas, socioculturales, as como tcnicas. Las personas deben compartir y ampliar su conocimiento de las amenazas futuras para hacer frente de forma proactiva sus causas, y no slo los sntomas. Cambian constantemente los modelos de organizacin empresarial junto con las amenazas en evolucin - requieren tcnicas de seguridad de informacin para adaptarse y su grado de eficacia mejorada de manera constante. El conocimiento de las ltimas tcnicas de seguridad de la informacin debe ser mantenida por aprender de incidentes y el enlace con organizaciones de investigacin independientes. Opciones para hacer frente a riesgos de la informacin debe ser revisada para que las decisiones informada, documentada se hacen sobre el tratamiento del riesgo. Tratamiento de los riesgos por lo general consiste en elegir una o ms opciones, que generalmente incluyen: la aceptacin de riesgos (es decir, por un miembro de la direccin 'firmaoff' que han aceptado los riesgos y que no se requieren ms acciones), evitar los riesgos (por ejemplo, al decidir no llevar a cabo una iniciativa en particular), la transferencia de riesgos (por ejemplo, mediante la subcontratacin o la contratacin de seguros), y la mitigacin de riesgos, por lo general mediante la aplicacin de medidas de seguridad adecuadas (por ejemplo, controles de acceso, monitoreo de red y gestin de incidencias). Informacin deben ser identificados y clasificados de acuerdo a su nivel de confidencialidad (secreto, por ejemplo, restringida, interna y pblica). La informacin clasificada deben ser protegidos como corresponde en todas las etapas de su ciclo de vida - desde la creacin hasta la destruccin - los controles adecuados, como el cifrado y las restricciones de acceso.

A.6 Promover la mejora continua en seguridad de la informacin

B Proteger el negocio B.1. Adoptar un enfoque basado en riesgos

Para asegurar que los riesgos son tratados de una manera coherente y eficaz.

B.2 Proteger clasificada

la

informacin

Para evitar que la informacin clasificada (por ejemplo, confidencial o sensible) se divulgue a personas no autorizadas.

Reference: ISF 10 ISP Copyright 2010 Information Security Forum Limited. All rights reserved.

B.3 Se concentran en aplicaciones crticas de negocio

Para priorizar los escasos recursos seguridad de la informacin mediante la proteccin de las aplicaciones de negocio en un incidente de seguridad que tienen el mayor impacto de negocios. Objetivo A la calidad de construccin, sistemas rentables en los que los empresarios pueden contar (por ejemplo, que son consistentemente robusta, precisa y fiable).

Comprender el impacto en el negocio de una prdida de integridad (por ejemplo, integridad, exactitud y actualidad de la informacin) o la disponibilidad de informacin importante a cargo de las aplicaciones de negocio (es decir, procesados, almacenados o transmitidos) le ayudar a determinar su nivel de criticidad. Los requisitos de seguridad de los recursos, se puede determinar y concediendo prioridad a la proteccin de las aplicaciones que son ms crticos para el xito de la organizacin. Descripcin Seguridad de la informacin debe ser integral con el alcance, diseo, construccin y fases de prueba del sistema de ciclo de vida del desarrollo (SDLC). Buenas prcticas de seguridad (por ejemplo, pruebas rigurosas de las debilidades de seguridad, revisin de pares y la capacidad para hacer frente a las condiciones de error, excepcin y de emergencia) debera desempear un papel clave en todas las etapas del proceso de desarrollo.

Principio B.4 Desarrollar sistemas seguridad

de

C Promover un comportamiento responsable de seguridad C.1 Actuar de una manera Para asegurar que la informacin profesional y tica relacionada con la seguridad las actividades se llevan a cabo de una manera confiable, responsable y eficaz.

Seguridad de la informacin depende en gran medida la capacidad de los profesionales de la industria para llevar a cabo sus funciones de manera responsable y con una comprensin clara de cmo su integridad tiene un impacto directo sobre la informacin que estn encargados de la proteccin. Profesionales de la informacin de seguridad tienen que estar comprometidos con un alto estndar de calidad en su trabajo al tiempo que demuestra un comportamiento coherente y tica y el respeto por las necesidades del negocio, a otras personas y la informacin confidencial (a menudo personal). Se debe hacer hincapi en la fabricacin de seguridad de la informacin una parte clave de "como de costumbre, la concienciacin de seguridad entre los usuarios y asegurar que tengan las habilidades necesarias para proteger la informacin crtica o clasificados y sistemas. Las personas deben ser conscientes de los riesgos a la informacin en su cuidado y la facultad de tomar las medidas necesarias para protegerla.

C.2 Fomentar una cultura de seguridad positiva

Para ejercer una influencia positiva en la seguridad del comportamiento de los usuarios finales, reducir la probabilidad de incidentes de seguridad que ocurren, y limitar su impacto en el negocio potencial.

Principios para los profesionales de seguridad de la informacin se han reproducido con el permiso de la Seguridad de la Informacin del Foro (ISF) para su utilizacin por los representantes de (ISC) y ISACA.
Reference: ISF 10 ISP Copyright 2010 Information Security Forum Limited. All rights reserved.