6.1. Acciones para tratar riesgos y oportunidades

6.1. Acciones para tratar riesgos y oportunidades

6.1.1 Generalidades
Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar las cuestiones a que se refiere el apartado 4.1 y los requisitos a que se refiere el apartado 4.2 y determinar los riesgos y oportunidades que deben ser dirigidas a:

1. 1. Asegurar que el SGSI pueda alcanzar los resultados esperados.
   2. Evitar o minimizar los efectos no deseados.
   3. Lograr la mejora continua.

La organización debe planificar:

1. 4. Acciones para abordar los riesgos y oportunidades.
   5. Cómo:

1. 1. 1. Integración e implementación de acciones en los procesos del SGSI.
      2. Evaluar la efectividad de estas acciones.

6.1.2 Evaluación de riesgos de SI
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información que:

1. 1. Establezca y mantenga los criterios de riesgo de SI incluyendo:

1. 1. 1. Criterios de aceptación del riesgo.
      2. Criterios para realizar evaluaciones de riesgos de seguridad de la información.

1. 2. Asegura que las evaluaciones de riesgos de seguridad de la información repetidas producen resultados consistentes, válidos y resultados comparables.
   3. Identifique los riesgos de SI:

1. 1. 1. Aplica el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información en el ámbito del SGSI.
      2. Identifica a los propietarios del riesgo.

1. 4. Analice los riesgos de SI:

1. 1. 1. Evalúa las consecuencias potenciales que resultan si los riesgos identificados en 6.1.2 c) 1) fueran a materializarse.
      2. Evalúa la probabilidad realista de ocurrencia de los riesgos identificados en 6.1.2 c) 1).
      3. Determina los niveles de riesgo.

1. 5. Evalúe los riesgos de SI:

1. 1. 1. Compara los resultados del análisis de riesgo con los criterios de riesgo establecidos en 6.1.2 a).
      2. Prioriza los riesgos analizados para el tratamiento de riesgos.

La empresa tiene que mantener información documentada acerca del proceso de evaluación de riesgos de SI.
6.1.3 Tratamiento de riesgos de SI
La empresa definirá y aplicará un proceso para tratar los riesgos de SI para:

1. 1. Seleccionar las opciones más apropiadas para tratar los riesgos de SI, teniendo en cuenta los resultados de la evaluación de riesgos.
   2. Determinar todos los controles que son necesarios para implementar las opciones de tratamiento de riesgos de seguridad de la información elegidas.
   3. Comparar los controles determinados en 6.1.3 b) con los del Anexo A y verificar que no se han omitido los controles necesarios.
   4. Desarrollar una Declaración de Aplicabilidad con:

• • • Los controles necesarios (ver 6.1.3 b) y c)).
    • Justificación de su inclusión.
    • Si se aplican o no los controles necesarios.
    • Una justificación que excluya los controles del Anexo A.

1. 5. Desarrollar un plan para el tratamiento de los riesgos de SI.
   6. Obtener la aprobación de los propietarios de riesgos del plan de tratamiento de riesgos de seguridad de la información y la aceptación de riesgos residuales de seguridad de la información.

La organización debe conservar información documentada sobre el proceso de tratamiento de los riesgos de seguridad de la información.