Guía para realizar una Auditoría al Sistemas de Gestión de Seguridad de la Información desarrollada bajo la NTC-ISO/IEC 27001:2013

Attribution-NonCommercial-NoDerivatives 4.0 International (CC BY-NC-ND 4.0)Mayorga Galarza, Mario FernandoGuzmán Díaz, Jorge Mario2023-07-102023-07-102023-05-27http://repositorio.uan.edu.co/handle/123456789/8175An Information Security Management System (ISMS) is crucial for protecting an organization's information assets. To effectively implement it, risks must be identified and evaluated, appropriate policies and procedures established, and clear responsibilities assigned.The NTC-ISO/IEC 27001 (ICONTEC, 2013), COBIT5, or MAGERIT standards can be employed for its implementation. The audit of the ISMS, based on ISO/IEC 27007 (ISO, 2020), assesses compliance and effectiveness through documentation review, interviews, and technical testing.Un Sistema de Gestión de Seguridad de la Información (SGSI) es fundamental para proteger los activos de información de una organización. Para implementarlo de manera efectiva, se deben identificar y evaluar los riesgos, establecer políticas, procedimientos adecuados, y asignar responsabilidades claras. Para su implementación, se pueden emplear las normas NTCISO/IEC 27001 (ICONTEC, 2013), COBIT5 o MAGERIT. La auditoría al SGSI, basada en la norma ISO/IEC 27007 (ISO, 2020), evalúa el cumplimiento y la efectividad mediante la revisión de documentación, entrevistas y pruebas técnicas.spaAcceso a solo metadatosSistema de GestiónSeguridadInformaciónactivos de informacióncontroles de seguridad6577.23 G993gGuía para realizar una Auditoría al Sistemas de Gestión de Seguridad de la Información desarrollada bajo la NTC-ISO/IEC 27001:2013Trabajo de grado (Pregrado y/o Especialización)Information SecurityManagement Systeminformationinformation securitycontrolsinfo:eu-repo/semantics/closedAccesshttp://purl.org/coar/access_right/c_14cbAreitio, J. (2008). Seguridad de la Información. Madrid: Paraninfo.Colobran Huguet, M., Arques Soldevila, J. M., & Galindo, E. M. (2008). Administración de Sistemas Operativos. Barcelona: UOCCSAE. (2012). MAGERIT – versión 3.0 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Públicas.ICONTEC. (2005). Norma Técnica Colombiana NTC-ISO/IEC 27001. Recuperado de https://img1.wsimg.com/blobby/go/b653c9ee-535c-4528-a9c5-bb00166ad0dc/downloads/1cd65ml0r_919353.pdfICONTEC. (2013). Norma Técnica Colombiana NTC-ISO/IEC 27001. Recuperado de ICONTEC: https://ebooks.icontec.org/product/seguridad-de-la-informacinciberseguridad-y-proteccin-privacidad-sistemas-gestin-requisitosISACA. (2012). COBIT 5 - para Seguridad de la Información. ISACA.ISO. (2018). Norma Internacional - ISO 31000: 2018. Recuperado de http://simudatsaludrisaralda.co/normatividad_inv9/normas_tecnicas/NTCISO31000_Gestion_del_riesgo.pdfISO. (2018). Norma - ISO 19011 - Directrices para la auditoría de los sistemas de gestión.Recuperado de https://www.cecep.edu.co/documentos/calidad/norma-iso-19011-2018.pdfISO. (2020). ISO/IEC 27007 - Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de los sistemas de gestión de la seguridad de la información. https://cdn.standards.iteh.ai/samples/77802/5bb0caa59ce4411aa0508cf83f9a62d9/ISOIEC-27007-2020.pdfMuñoz Razo, C. (2002). Auditoría en Sistemas Computacionales. México: Prentice Hall.instname:Universidad Antonio Nariñoreponame:Repositorio Institucional UANrepourl:https://repositorio.uan.edu.co/