Norma Iso 27001_final

8/3/2019 Norma Iso 27001_final

http://slidepdf.com/reader/full/norma-iso-27001final 1/14

NORMA ISO/IEC 27001

Guillermo Quezada Pujadas

Taller de Redes y Seguridad



Introducción

La información es un activo que como otros activosimportantes tiene valor y requiere en consecuencia unaprotección adecuada. Para la adecuada gestión de laseguridad de la información, es necesario implantar unsistema que aborde esta tarea de una forma metódica,documentada y basada en unos objetivos claros deseguridad que a su vez haga una evaluación de losriesgos a los que está sometida la información de laorganización.

ISO/IEC 27000 es un conjunto de estándaresdesarrollados por ISO e IEC, que proporcionan unmarco de gestión de la seguridad de la informaciónutilizable por cualquier tipo de organización, pública oprivada, grande o pequeña. A continuación se resumen

las características del estándar ISO/IEC 27001 y seindica cómo puede una organización implantar unsistema de gestión de seguridad de la información(SGSI) basado en ISO 27001.



Que es SGSI

Un sistema de gestión de seguridad de la información, comprende la

política, estructura organizativa, procedimientos, procesos y recursos

necesarios para implantar la gestión de la seguridad de la información.

Un SGSI se implanta de acuerdo a estándares de seguridad como el

ISO 27001 basado en el código de buenas practicas y objetivos decontrol ISO 17799, el cual se centra en la preservación de las

características de confidencialidad , integridad y disponibilidad.

Los objetivos de implementar un sistema ISO 27001 se pueden resumir

en lo siguiente:

Políticas de SeguridadOrganización de Seguridad

Gestión de Activos

Seguridad de los Recursos Humanos

Cumplimiento de Políticas y Normatividad Legal



Origen de la Norma ISO 27001



ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC27001 fue aprobado y publicado como estándar internacionalen Octubre de 2005 por International Organization for

Standardization (ISO) y por la International ElectrotechnicalCommission (IEC).

Esta norma especifica los requisitos necesarios paraestablecer, implantar, mantener y mejorar un Sistema deGestión de la Seguridad de la Información (SGSI) según elconocido PDCA - (Planificar, Hacer, Verificar, Actuar). Esconsistente con las mejores prácticas descritas en ISO/IEC17799 (actual ISO/IEC 27002) y tiene su origen en la norma

BS 7799-2:2002, desarrollada por la entidad de normalizaciónbritánica, la British Standarsds Institution (BSI).



Contenido

Resumen del contenido de la norma ISO 27001 Introducción.

Objeto y campo de aplicación.

Normas para consulta.

Términos y definiciones.

SGSI.

Responsabilidad de la dirección.

Auditorias internas del SGSI.

Revisión del SGSI por la dirección.

Mejora del SGSI.

Objetivos de control y controles.

Relación con los principios de la OCDE.

Correspondencia con otras normas.

Bibliografía.



Beneficios de la Norma ISO/IEC 27001

Establecimiento de una metodología de gestión

de la seguridad clara y estructurada.

Reducción del riesgo de pérdida, robo o

corrupción de información.

Los clientes tienen acceso a la información a

través medidas de seguridad.Los riesgos y sus controles son continuamente

revisados.

Posibilidad de integrarse con otros sistemas de

gestión (ISO 9001, ISO 14001, OHSAS 18001«).

Continuidad de las operaciones necesarias de

negocio tras incidentes de gravedad.

Conformidad con la legislación vigente sobreinformación personal, propiedad intelectual y

otras.

Confianza y reglas claras para las personas de la

organización.

Aumento de la seguridad en base a la gestión de

procesos en vez de en la compra sistemática de

productos y tecnologías.



Adaptarse al cambio



Arranque del proyecto

Compromiso de la Dirección

Planificación, fechas, responsables



Planificación

Definir alcance del SGSI

Definir política del SGSI

Definir el enfoque de evaluación de riesgos

Inventario de activosIdentificar amenazas y vulnerabilidades

Identificar los impactos

Análisis y evaluación de los riesgos

Identificar y evaluar opciones para el

tratamiento del riesgo

Selección de controles

Aprobación por parte de la Dirección del

riesgo residual y autorización de implantar el

SGSI

Confeccionar una Declaración de Aplicabilidad



Implementación

Definir plan de tratamiento de riesgos.

Implantar plan de tratamiento de riesgos.Implementar los controles.

Formación y concienciación.

Desarrollo del marco normativo necesario.

Gestionar las operaciones.

Implantar procedimientos y controles.



Seguimiento

Ejecutar procedimientos y controles de monitorización y revisión.

Revisar regularmente la eficacia del SGSI.

Medir la eficacia de los controles.Revisar regularmente la evaluación de riesgos.

Realizar regularmente auditorías internas.

Revisar regularmente el SGSI por parte de la Dirección.

Actualizar planes de seguridad.

Registrar acciones y eventos que puedan tener impacto en la eficacia o el

rendimiento del SGSI.



Mejora continua

Implantar mejoras.

Acciones correctivas.

Acciones preventivas.

Comunicar las acciones y mejoras.

Asegurarse de que las mejoras alcanzan los objetivos pretendidos.



Aspectos claves

Los fundamentales

Los factores de éxito

Los riesgos

Consejos básicos

Norma Iso 27001_final

Documents

Transcript of Norma Iso 27001_final