Realizaré una evaluación de riesgos de seguridad ISO

El paquete básico es para entender la estructura, operaciones, diseño de datos y necesidades de la organización, y recopilar información para desarrollar el alcance de la evaluación de riesgos de seguridad, ya sea en base a la línea base o una evaluación completa de riesgos de seguridad. El paquete básico no incluirá ningún informe de evaluación de riesgos de seguridad.

La evaluación de riesgos de seguridad determina el riesgo basado en amenaza, vulnerabilidad e impacto, y los propósitos son identificar el riesgo, evaluar el riesgo y priorizarlo.

1) La evaluación de riesgos es fundamental para el cumplimiento de ISO. Identifica, evalúa y establece la existencia de controles de seguridad específicos. 2) La auditoría de riesgos prueba esos controles de seguridad específicos, es más compleja y puede centrarse en objetivos específicos de una organización, por ejemplo, certificación ISO, etc.

1) Desarrollar el alcance de la evaluación de riesgos de seguridad (comunicar con las partes interesadas para entender la estructura, operaciones, diseño de datos y necesidades de la organización y recopilar información para definir los controles de seguridad ISO/IEC). 2) Ejecutar el ejercicio de evaluación de riesgos (ejecutar la evaluación y evaluar el impacto del riesgo).

1) Requisitos de controles de estándares internacionales relevantes (ISO o NIST). 2) Observaciones del evaluador sobre la postura de seguridad existente de la organización. 3) Recomendaciones del evaluador para implementar controles de seguridad. 4) Impacto del riesgo en el negocio de la organización. 5) Clasificación del riesgo (bajo a crítico, etc.).