©Copyright 2013 ISACA. Todos los derechos reservados. 2.17 Documentación • Para gestionar efectivamente los riesgos, se requiere de una documentación adecuada y fácilmente disponible. • Dicha información puede incluir: — Políticas, procedimientos, estándares y directrices. — Resultados de análisis de riesgos. — Registro de riesgos (para cada riesgo identificado). — Base de datos de mitigación de riesgos. — Reportes y tableros de control. — Material de entrenamiento.
©Copyright 2013 ISACA. Todos los derechos reservados. 2.17 Documentación Para gestionar efectivamente los riesgos, se requiere de una documentación adecuada.
Jan 23, 2016
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Information Risk Management and Compliance Chapter 2
2.17 DocumentacinPara gestionar efectivamente los riesgos, se requiere de una documentacin adecuada y fcilmente disponible. Dicha informacin puede incluir:Polticas, procedimientos, estndares y directrices.Resultados de anlisis de riesgos.Registro de riesgos (para cada riesgo identificado).Base de datos de mitigacin de riesgos.Reportes y tableros de control. Material de entrenamiento.
Copyright 2013 ISACA. Todos los derechos reservados.1Directivas para el Instructor:
Contenidos a Enfatizar: Para gestionar efectivamente los riesgos se requiere de la documentacin adecuada que disponga en relacin con las polticas de gestin de riesgos y estndares, as como otros temas relacionados con riesgos pertinentes. Las decisiones relativas a la naturaleza y al grado de documentacin implican costos y beneficios relacionados. La poltica y el programa para la gestin de riesgos definen la documentacin que es necesaria.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 134
2.17 Documentacin Cada etapa del desarrollo del programa de gestin de riesgos debe incluir:Objetivos.Pblico.Recursos de informacin / Custodios de recursos.Supuestos.Decisiones.Copyright 2013 ISACA. Todos los derechos reservados.2Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin de la poltica para la gestin de riesgos puede incluir entre otras, la siguiente informacin:Objetivos de la poltica y razn para la gestin de riesgos.mbito de aplicacin y estatutos de la gestin de riesgos de la seguridad de la informacin.Vnculos entre la poltica de gestin de riesgos y los planes de negocio tanto estratgico como corporativo de la organizacin.Copyright 2013 ISACA. Todos los derechos reservados.3Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin de la poltica para la gestin de riesgos puede incluir entre otras, la siguiente informacin:Alcance y variedad de temas a los que se aplica la poltica.Orientacin sobre lo que puede considerarse como riesgo aceptable.Responsabilidades sobre la gestin de riesgos.Conocimientos profesionales de apoyo disponibles para ayudar a los responsables de la gestin de riesgos.Copyright 2013 ISACA. Todos los derechos reservados.4Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin de la poltica para la gestin de riesgos puede incluir entre otras, la siguiente informacin:Nivel de documentacin requerido.Plan para revisar el apego a la poltica de gestin de riesgos.Niveles de severidad de incidentes y eventos.Procedimientos de reporte y escalamiento de riesgos, formato y frecuencia.Copyright 2013 ISACA. Todos los derechos reservados.5Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin tpica para la gestin de riesgos debe incluir:Un registro de riesgo (para cada riesgo identificado).La fuente del riesgoLa naturaleza del riesgoOpcin de tratamiento seleccionadaLos controles existentesControles recomendados no implementados y las razones por las cuales se deberan implementarConsecuencias y probabilidad.Prdida de ingresosGastos inesperadosRiesgo legal (de incumplimiento de regulaciones y contractual)Procesos interdependientesPrdida del reconocimiento o la confianza del pblicoCopyright 2013 ISACA. Todos los derechos reservados.6Contenidos a Enfatizar: La documentacin tpica para la gestin de riesgos debe incluir:Un registro de riesgosPara cada riesgo identificado, registre: La fuente del riesgo La naturaleza del riesgo Opcin de tratamiento seleccionada Los controles existentes Controles recomendados no implementados y las razones por las cuales se deberan implementarConsecuencias y probabilidad de compromiso, incluyendo: Prdida de ingresos Gastos inesperados Riesgo legal (de incumplimiento de regulaciones y contractual) Procesos interdependientes Prdida del reconocimiento o la confianza del pblicoClasificacin inicial del riesgoVulnerabilidad a factores internos/externosUn inventario de los activos de informacin, incluyendo TI y activos de telecomunicacin, que menciona: Descripcin del activo Especificaciones tcnicas Nmero/cantidad Ubicacin Requerimientos de licencias especiales, de existir alguno Un plan de accin y mitigacin de riesgos, que especifique: Quin tiene la responsabilidad de implementar el plan Los recursos que se van a utilizar La asignacin del presupuesto El calendario para la implementacin Detalles de los mecanismos / medidas de control Cumplimiento de los requerimientos de la polticaDocumentos de auditora y monitoreo, que incluyan: Resultados de auditoras/revisiones y otros procedimientos de monitoreo Seguimiento de las recomendaciones de la revisin y el estado de su implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin tpica para la gestin de riesgos debe incluir:Clasificacin inicial del riesgo.Vulnerabilidad a factores internos/externos.Un inventario de los activos de informacin.Descripcin del activoEspecificaciones tcnicasNmero/cantidadUbicacin Requerimientos de licencias especiales, de existir alguno Copyright 2013 ISACA. Todos los derechos reservados.7Contenidos a Enfatizar: La documentacin tpica para la gestin de riesgos debe incluir:Un registro de riesgosPara cada riesgo identificado, registre: La fuente del riesgo La naturaleza del riesgo Opcin de tratamiento seleccionada Los controles existentes Controles recomendados no implementados y las razones por las cuales se deberan implementarConsecuencias y probabilidad de compromiso, incluyendo: Prdida de ingresos Gastos inesperados Riesgo legal (de incumplimiento de regulaciones y contractual) Procesos interdependientes Prdida del reconocimiento o la confianza del pblicoClasificacin inicial del riesgoVulnerabilidad a factores internos/externosUn inventario de los activos de informacin, incluyendo TI y activos de telecomunicacin, que menciona: Descripcin del activo Especificaciones tcnicas Nmero/cantidad Ubicacin Requerimientos de licencias especiales, de existir alguno Un plan de accin y mitigacin de riesgos, que especifique: Quin tiene la responsabilidad de implementar el plan Los recursos que se van a utilizar La asignacin del presupuesto El calendario para la implementacin Detalles de los mecanismos / medidas de control Cumplimiento de los requerimientos de la polticaDocumentos de auditora y monitoreo, que incluyan: Resultados de auditoras/revisiones y otros procedimientos de monitoreo Seguimiento de las recomendaciones de la revisin y el estado de su implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin tpica para la gestin de riesgos debe incluir:Un plan de accin de mitigacin de riesgos.Quin tiene la responsabilidad de implementar el planLos recursos que se van a utilizarLa asignacin del presupuestoEl calendario para la implementacinDetalles de los mecanismos / medidas de controlCumplimiento de los requerimientos de la polticaDocumentos de auditora y monitoreo.Resultados de auditoras/revisiones y otros procedimientos de monitoreoSeguimiento de las recomendaciones de la revisin y el estado de su implementacin.Copyright 2013 ISACA. Todos los derechos reservados.8Contenidos a Enfatizar: La documentacin tpica para la gestin de riesgos debe incluir:Un registro de riesgosPara cada riesgo identificado, registre: La fuente del riesgo La naturaleza del riesgo Opcin de tratamiento seleccionada Los controles existentes Controles recomendados no implementados y las razones por las cuales se deberan implementarConsecuencias y probabilidad de compromiso, incluyendo: Prdida de ingresos Gastos inesperados Riesgo legal (de incumplimiento de regulaciones y contractual) Procesos interdependientes Prdida del reconocimiento o la confianza del pblicoClasificacin inicial del riesgoVulnerabilidad a factores internos/externosUn inventario de los activos de informacin, incluyendo TI y activos de telecomunicacin, que menciona: Descripcin del activo Especificaciones tcnicas Nmero/cantidad Ubicacin Requerimientos de licencias especiales, de existir alguno Un plan de accin y mitigacin de riesgos, que especifique: Quin tiene la responsabilidad de implementar el plan Los recursos que se van a utilizar La asignacin del presupuesto El calendario para la implementacin Detalles de los mecanismos / medidas de control Cumplimiento de los requerimientos de la polticaDocumentos de auditora y monitoreo, que incluyan: Resultados de auditoras/revisiones y otros procedimientos de monitoreo Seguimiento de las recomendaciones de la revisin y el estado de su implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg. 134
Related Documents
