SlideShare ist ein Scribd-Unternehmen logo

Iso 27001

Als PPTX, PDF herunterladen
M
mar778
1 von 33
TECNOLOGICO DE ESTUDIOS SUPERIORES DE CUAUTITLAN IZCALLI “ESTANDAR INTERNACIONAL ISO/IEC 27001” • ANGULO EZETA ADRIANA IVETTE • CALDERON FIGUERO DANIEL • GOMEZ CORREA ROCIO ANAYELLI • MARTINEZ CRUZ MARIEL • MERIDA HERNANDEZ ANTONIO • SANCHEZ ALONSO RICARDO 261M
Sistema de Gestión de Seguridad de la Información (SGSI). Mantener y mejorar Monitorear, revisar Implementar, operar Proporciona un modelo para establecer, Estándar Internacional
Es influenciado por las necesidades y objetivos, requerimientos de seguridad, Los procesos empleados y el tamaño Y estructura de la organización. El diseño e implementación del SGSI de una organización
Un enfoque del proceso para la gestión de la seguridad fomenta: a) Entender los requerimientos de seguridad de la información y la necesidad de establecer una política y objetivos b) Implementar y operar controles para manejar los riesgos de la seguridad de la c) Monitorear y revisar el desempeño y la efectividad del SGSI d) Mejoramiento continúo en base a la medición del objetivo.
Figura 1 – Modelo PDCA aplicado a los procesos SGSI
PLANEAR (ESTABLECER EL SGSI) •Establecer política, objetivos, procesos y procedimientos SGSI para manejar el riesgo y mejorar la seguridad HACER (IMPLEMENTAR Y OPERAR EL SGSI) •Políticas, controles, procesos y procedimientos SGSI CHEQUEAR (MONITOREAR Y REVISAR SGSI) •Evaluar, y donde sea aplicable medir el desempeño del proceso y reportar los resultados para su revisión ACTUAR (MANTENER Y MEJORAR SGSI) •Tomar acciones correctivas y preventivas basadas en resultados de auditoria
Compatibilidad con otros sistemas de gestión.  Este Estándar Internacional se alinea con el ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión relacionados.
Alcance general  Este Estándar Internacional abarca todos los tipos de organizaciones (por ejemplo; empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro).
Aplicación  Los requerimientos son genéricos y están diseñados para ser aplicables a todas las organizaciones, sin importar el tipo, tamaño y naturaleza.  Cualquier exclusión para satisfacer el criterio de aceptación del riesgo tiene que ser justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables.
Referencias normativas  Para referencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplica la última edición del documento citado.  ISO/IEC 17799:2005, Tecnología de la información – Técnicas de seguridad – Código de práctica para la gestión de la seguridad de la información.
Términos y definiciones. Activo. Cualquier cosa que tenga valor para la organización (ISO/IEC 13335-1:2004) Disponibilidad. La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada (ISO/IEC 13335-1:2004) Confidencialidad. La propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados (ISO/IEC 13335-1:2004)
Seguridad de información. Preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad (ISO/IEC 17799:2005). Evento de seguridad de la información Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible violación de la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004) Incidente de seguridad de la información. Un solo o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una significativa probabilidad de comprometer las operaciones comerciales y amenazan la seguridad de la información. (ISO/IEC TR 18044:2004).
Sistema de gestión de seguridad de la información SGSI. Esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Integridad. La propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004) Riesgo residual. El riesgo remanente después del tratamiento del riesgo (ISO/IEC Guía 73:2002) Aceptación de riesgo.Decisión de aceptar el riesgo (ISO/IEC Guía 73:2002)
Análisis de riesgo. Uso sistemático de la información para identificar fuentes y para estimar el riesgo (ISO/IEC Guía 73:2002) Valuación del riesgo. Proceso general de análisis del riesgo y evaluación del riesgo (ISO/IEC Guía 73:2002) Evaluación del riesgo. Proceso de comparar el riesgo estimado con el criterio de riesgo dado para determinar la importancia del riesgo (ISO/IEC Guía 73:2002) Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con relación al riesgo (ISO/IEC Guía 73:2002)
Tratamiento del riesgo. Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo (ISO/IEC Guía 73:2002) Enunciado de aplicabilidad. Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización
Sistema de gestión de seguridad de la información  Para propósitos de este Estándar Internacional, los procesos utilizados se basan en el modelo PDCA
Establecer el SGSI a) Definir el alcance y los límites del SGSI en términos de las características del negocio, la organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de cualquier exclusión del alcance.
b) Definir una política SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología que: Incluir un Marco referencial para establecer sus objetivos Tomar en cuenta los requerimientos comerciales y legales Alinear el contexto de la gestión de riesgo estratégico Establecer un criterio para evaluar el riesgo Aprobar por la gerencia
•1) Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. •2) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables. c) Definir el enfoque de valuación del riesgo de la organización •1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. •2) Identificar las amenazas para aquellos activos. •3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. d) Identificar los riesgos •1) Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad •2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, e) Analizar y evaluar el riesgo
Implementar y operar el SGSI a) Formular un plan de tratamiento de riesgo que identifique. b) Implementar el plan de tratamiento de riesgo. c) Implementar los programas de capacitación y conocimiento. d) Manejar las operaciones del SGSI.
Monitorear y revisar el SGSI a) Ejecutar procedimientos de monitoreo y revisión, y otros controles para: •1) Detectar prontamente los errores en los resultados de procesamiento. •2) Identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos. •3) Permitir a la gerencia determinar si las actividades de seguridad delegadas a las personas. •4) Ayudar a detectar los eventos de seguridad. •5) Determinar si son efectivas las acciones tomadas para resolver una violación de seguridad. b) Realizar revisiones regulares de la efectividad del SGSI •Incluyendo satisfacer la política y objetivos de seguridad del SGSI, y revisar los controles de seguridad
Mantener y mejorar el SGSI a) Implementar las mejoras identificadas en el SGSI. b) Tomar las acciones correctivas y preventivas apropiadas. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la organización misma. c) Comunicar los resultados y acciones a todas las partes interesadas con un nivel de detalle apropiado de acuerdo a las circunstancias y, cuando sea relevante, acordar cómo proceder. d) Asegurar que las mejoras logren sus objetivos señalados.
Requerimientos de documentación. a) Enunciados documentados de la política SGSI y los objetivos; b) El alcance del SGSI. c) Procedimientos y controles de soporte del SGSI. d) Una descripción de la metodología de evaluación del riesgo. e) Reporte de evaluación del riesgo. f)Plan de tratamiento del riesgo g) Los procedimientos documentados necesarios por la organización h) Registros requeridos por este Estándar Internacional. i) Enunciado de Aplicabilidad.
Control de registros  Se deben mantener registros para proporcionar evidencia de conformidad con los requerimientos y la operación efectiva del SGSI.  Los registros deben mantenerse legibles, fácilmente identificables y recuperables.
• Responsabilidad de la gerencia Compromiso de la gerencia.  La gerencia debe proporcionar evidencia de su compromiso con el establecimiento.
a) Establecer una política SGSI. b) Asegurar que se establezcan objetivos y planes SGSI. c) Establecer roles y responsabilidades para la seguridad de información d) Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y cumplir la política de seguridad de la información. e) Proporcionar los recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.
f) Decidir el criterio para la aceptación del riesgo y los niveles de riesgo aceptables. g) Asegurar que se realicen las auditorías internas SGSI. h) Realizar revisiones gerenciales del SGSI.
Gestión de recursos Provisión de recursos a) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI. b) Asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales. c) Identificar y tratar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales. d) Mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados. e) Llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones. f) Donde se requiera, mejorar la efectividad del SGSI.
Capacitación, conocimiento y capacidad a) Determinar las capacidades necesarias para el personal que realiza trabajo que afecta el SGSI. b) Proporcionar la capacitación o realizar otras acciones (por ejemplo; emplear el personal competente) para satisfacer estas necesidades. c) Evaluar la efectividad de las acciones tomadas. d) Mantener registros de educación, capacitación, capacidades, experiencia y calificaciones.
Auditorías internas SGSI a) Cumplen con los requerimientos de este Estándar Internacional y la legislación y regulaciones relevantes. b) Cumplen con los requerimientos de seguridad de la información identificados; c) Se implementan y mantienen de manera efectiva d) Se realizan conforme lo esperado.
Revisión Gerencial del SGSI  La gerencia debe revisar el SGSI de la organización a intervalos planeados (por lo menos una vez al año) para asegurarse de su continua idoneidad, conveniencia y efectividad.
Insumo de la revisión a) Resultados de auditorías y revisiones del SGSI. b) Retroalimentación de las partes interesadas. c) Técnicas, productos o procedimientos, que se podrían utilizar en la organización para mejorar el desempeño y efectividad del SGSI. d) Status de acciones preventivas y correctivas. e) Vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa. f) Resultados de mediciones de efectividad. g) Acciones de seguimiento de las revisiones gerenciales previas. h) Cualquier cambio que pudiera afectar el SGSI. i) Recomendaciones para el mejoramiento.
Mejoramiento del SGSI Mejoramiento continúo. A través del uso de la política de seguridad de la información. Acción correctiva. Acciones para eliminar la causa de las no-conformidades con los requerimientos del SGSI para poder evitar la recurrencia. Acción preventiva. Deben ser apropiadas para el impacto de los problemas potenciales.

Empfohlen

Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Manuel Mujica
 

Empfohlen

Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Manuel Mujica
 
Iso27001
Iso27001Iso27001
Iso27001Gerard Flores
 
Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Protiviti Peru
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Irma
IrmaIrma
IrmaJazmin Toxqui
 
Irma iso
Irma isoIrma iso
Irma isoJazmin Toxqui
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosLeonardo Lemes Fagundes
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Protiviti Peru
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Protiviti Peru
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Brochure Curso SGSI
Brochure Curso SGSIBrochure Curso SGSI
Brochure Curso SGSIProtiviti Peru
 
ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZDaniel Martínez
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 

Weitere ähnliche Inhalte

Was ist angesagt?

Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Protiviti Peru
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Protiviti Peru
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Protiviti Peru
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 

Was ist angesagt? (16)

Iso27001
Iso27001Iso27001
Iso27001
 
Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Irma
IrmaIrma
Irma
 
Irma iso
Irma isoIrma iso
Irma iso
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Brochure Curso SGSI
Brochure Curso SGSIBrochure Curso SGSI
Brochure Curso SGSI
 

Andere mochten auch

La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Andere mochten auch (8)

ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZ
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Ähnlich wie Iso 27001

Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informacióncarolapd
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcelamarzeth
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 

Ähnlich wie Iso 27001 (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
GestionDeSeguridad_.pptx
GestionDeSeguridad_.pptxGestionDeSeguridad_.pptx
GestionDeSeguridad_.pptx
 
Sgsi
SgsiSgsi
Sgsi
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Presentación 1
Presentación 1Presentación 1
Presentación 1
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Iso27001
Iso27001Iso27001
Iso27001
 

Iso 27001

  • 1. TECNOLOGICO DE ESTUDIOS SUPERIORES DE CUAUTITLAN IZCALLI “ESTANDAR INTERNACIONAL ISO/IEC 27001” • ANGULO EZETA ADRIANA IVETTE • CALDERON FIGUERO DANIEL • GOMEZ CORREA ROCIO ANAYELLI • MARTINEZ CRUZ MARIEL • MERIDA HERNANDEZ ANTONIO • SANCHEZ ALONSO RICARDO 261M
  • 2. Sistema de Gestión de Seguridad de la Información (SGSI). Mantener y mejorar Monitorear, revisar Implementar, operar Proporciona un modelo para establecer, Estándar Internacional
  • 3. Es influenciado por las necesidades y objetivos, requerimientos de seguridad, Los procesos empleados y el tamaño Y estructura de la organización. El diseño e implementación del SGSI de una organización
  • 4. Un enfoque del proceso para la gestión de la seguridad fomenta: a) Entender los requerimientos de seguridad de la información y la necesidad de establecer una política y objetivos b) Implementar y operar controles para manejar los riesgos de la seguridad de la c) Monitorear y revisar el desempeño y la efectividad del SGSI d) Mejoramiento continúo en base a la medición del objetivo.
  • 5. Figura 1 – Modelo PDCA aplicado a los procesos SGSI
  • 6. PLANEAR (ESTABLECER EL SGSI) •Establecer política, objetivos, procesos y procedimientos SGSI para manejar el riesgo y mejorar la seguridad HACER (IMPLEMENTAR Y OPERAR EL SGSI) •Políticas, controles, procesos y procedimientos SGSI CHEQUEAR (MONITOREAR Y REVISAR SGSI) •Evaluar, y donde sea aplicable medir el desempeño del proceso y reportar los resultados para su revisión ACTUAR (MANTENER Y MEJORAR SGSI) •Tomar acciones correctivas y preventivas basadas en resultados de auditoria
  • 7. Compatibilidad con otros sistemas de gestión.  Este Estándar Internacional se alinea con el ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión relacionados.
  • 8. Alcance general  Este Estándar Internacional abarca todos los tipos de organizaciones (por ejemplo; empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro).
  • 9. Aplicación  Los requerimientos son genéricos y están diseñados para ser aplicables a todas las organizaciones, sin importar el tipo, tamaño y naturaleza.  Cualquier exclusión para satisfacer el criterio de aceptación del riesgo tiene que ser justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables.
  • 10. Referencias normativas  Para referencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplica la última edición del documento citado.  ISO/IEC 17799:2005, Tecnología de la información – Técnicas de seguridad – Código de práctica para la gestión de la seguridad de la información.
  • 11. Términos y definiciones. Activo. Cualquier cosa que tenga valor para la organización (ISO/IEC 13335-1:2004) Disponibilidad. La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada (ISO/IEC 13335-1:2004) Confidencialidad. La propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados (ISO/IEC 13335-1:2004)
  • 12. Seguridad de información. Preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad (ISO/IEC 17799:2005). Evento de seguridad de la información Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible violación de la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004) Incidente de seguridad de la información. Un solo o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una significativa probabilidad de comprometer las operaciones comerciales y amenazan la seguridad de la información. (ISO/IEC TR 18044:2004).
  • 13. Sistema de gestión de seguridad de la información SGSI. Esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Integridad. La propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004) Riesgo residual. El riesgo remanente después del tratamiento del riesgo (ISO/IEC Guía 73:2002) Aceptación de riesgo.Decisión de aceptar el riesgo (ISO/IEC Guía 73:2002)
  • 14. Análisis de riesgo. Uso sistemático de la información para identificar fuentes y para estimar el riesgo (ISO/IEC Guía 73:2002) Valuación del riesgo. Proceso general de análisis del riesgo y evaluación del riesgo (ISO/IEC Guía 73:2002) Evaluación del riesgo. Proceso de comparar el riesgo estimado con el criterio de riesgo dado para determinar la importancia del riesgo (ISO/IEC Guía 73:2002) Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con relación al riesgo (ISO/IEC Guía 73:2002)
  • 15. Tratamiento del riesgo. Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo (ISO/IEC Guía 73:2002) Enunciado de aplicabilidad. Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización
  • 16. Sistema de gestión de seguridad de la información  Para propósitos de este Estándar Internacional, los procesos utilizados se basan en el modelo PDCA
  • 17. Establecer el SGSI a) Definir el alcance y los límites del SGSI en términos de las características del negocio, la organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de cualquier exclusión del alcance.
  • 18. b) Definir una política SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología que: Incluir un Marco referencial para establecer sus objetivos Tomar en cuenta los requerimientos comerciales y legales Alinear el contexto de la gestión de riesgo estratégico Establecer un criterio para evaluar el riesgo Aprobar por la gerencia
  • 19. •1) Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. •2) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables. c) Definir el enfoque de valuación del riesgo de la organización •1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. •2) Identificar las amenazas para aquellos activos. •3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. d) Identificar los riesgos •1) Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad •2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, e) Analizar y evaluar el riesgo
  • 20. Implementar y operar el SGSI a) Formular un plan de tratamiento de riesgo que identifique. b) Implementar el plan de tratamiento de riesgo. c) Implementar los programas de capacitación y conocimiento. d) Manejar las operaciones del SGSI.
  • 21. Monitorear y revisar el SGSI a) Ejecutar procedimientos de monitoreo y revisión, y otros controles para: •1) Detectar prontamente los errores en los resultados de procesamiento. •2) Identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos. •3) Permitir a la gerencia determinar si las actividades de seguridad delegadas a las personas. •4) Ayudar a detectar los eventos de seguridad. •5) Determinar si son efectivas las acciones tomadas para resolver una violación de seguridad. b) Realizar revisiones regulares de la efectividad del SGSI •Incluyendo satisfacer la política y objetivos de seguridad del SGSI, y revisar los controles de seguridad
  • 22. Mantener y mejorar el SGSI a) Implementar las mejoras identificadas en el SGSI. b) Tomar las acciones correctivas y preventivas apropiadas. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la organización misma. c) Comunicar los resultados y acciones a todas las partes interesadas con un nivel de detalle apropiado de acuerdo a las circunstancias y, cuando sea relevante, acordar cómo proceder. d) Asegurar que las mejoras logren sus objetivos señalados.
  • 23. Requerimientos de documentación. a) Enunciados documentados de la política SGSI y los objetivos; b) El alcance del SGSI. c) Procedimientos y controles de soporte del SGSI. d) Una descripción de la metodología de evaluación del riesgo. e) Reporte de evaluación del riesgo. f)Plan de tratamiento del riesgo g) Los procedimientos documentados necesarios por la organización h) Registros requeridos por este Estándar Internacional. i) Enunciado de Aplicabilidad.
  • 24. Control de registros  Se deben mantener registros para proporcionar evidencia de conformidad con los requerimientos y la operación efectiva del SGSI.  Los registros deben mantenerse legibles, fácilmente identificables y recuperables.
  • 25. • Responsabilidad de la gerencia Compromiso de la gerencia.  La gerencia debe proporcionar evidencia de su compromiso con el establecimiento.
  • 26. a) Establecer una política SGSI. b) Asegurar que se establezcan objetivos y planes SGSI. c) Establecer roles y responsabilidades para la seguridad de información d) Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y cumplir la política de seguridad de la información. e) Proporcionar los recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.
  • 27. f) Decidir el criterio para la aceptación del riesgo y los niveles de riesgo aceptables. g) Asegurar que se realicen las auditorías internas SGSI. h) Realizar revisiones gerenciales del SGSI.
  • 28. Gestión de recursos Provisión de recursos a) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI. b) Asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales. c) Identificar y tratar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales. d) Mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados. e) Llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones. f) Donde se requiera, mejorar la efectividad del SGSI.
  • 29. Capacitación, conocimiento y capacidad a) Determinar las capacidades necesarias para el personal que realiza trabajo que afecta el SGSI. b) Proporcionar la capacitación o realizar otras acciones (por ejemplo; emplear el personal competente) para satisfacer estas necesidades. c) Evaluar la efectividad de las acciones tomadas. d) Mantener registros de educación, capacitación, capacidades, experiencia y calificaciones.
  • 30. Auditorías internas SGSI a) Cumplen con los requerimientos de este Estándar Internacional y la legislación y regulaciones relevantes. b) Cumplen con los requerimientos de seguridad de la información identificados; c) Se implementan y mantienen de manera efectiva d) Se realizan conforme lo esperado.
  • 31. Revisión Gerencial del SGSI  La gerencia debe revisar el SGSI de la organización a intervalos planeados (por lo menos una vez al año) para asegurarse de su continua idoneidad, conveniencia y efectividad.
  • 32. Insumo de la revisión a) Resultados de auditorías y revisiones del SGSI. b) Retroalimentación de las partes interesadas. c) Técnicas, productos o procedimientos, que se podrían utilizar en la organización para mejorar el desempeño y efectividad del SGSI. d) Status de acciones preventivas y correctivas. e) Vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa. f) Resultados de mediciones de efectividad. g) Acciones de seguimiento de las revisiones gerenciales previas. h) Cualquier cambio que pudiera afectar el SGSI. i) Recomendaciones para el mejoramiento.
  • 33. Mejoramiento del SGSI Mejoramiento continúo. A través del uso de la política de seguridad de la información. Acción correctiva. Acciones para eliminar la causa de las no-conformidades con los requerimientos del SGSI para poder evitar la recurrencia. Acción preventiva. Deben ser apropiadas para el impacto de los problemas potenciales.