Professional Documents
Culture Documents
Compre YA!
5%
descuento EN NUESTRA
TIENDA ONLINE
Cmo implantar un SGSI
segn UNE-ISO/IEC 27001:2014 y
su aplicacin en el Esquema
Nacional de Seguridad
Compre YA!
5%
descuento EN NUESTRA
TIENDA ONLINE
Ttulo: Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014
y su aplicacin en el Esquema Nacional de Seguridad
Autores: Luis Gmez Fernndez y Pedro Pablo Fernndez Rivero
ISBN: 978-84-8143-900-7
Depsito legal: M-21327-2015
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Compre YA! Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
5%
descuento EN NUESTRA
TIENDA ONLINE
ndice
Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI) . . . . . . . . . 11
1.1. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.2. El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3. La Norma UNE-ISO/IEC 27001:2014 . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3.1. Novedades en la ltima versin de la norma . . . . . . . . . . . . . . 13
1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . . . . 14
1.4. La Norma UNE-ISO/IEC 27002:2015 . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.1. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . 14
2. Requisitos de la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . 17
2.1. Contexto de la organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.1.1. Sistema de gestin de seguridad de la informacin . . . . . . . . . 17
2.1.2. Conocer la organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.1.3. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . . . 19
2.2. Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2.3. Soporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.4. Operacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.2.5. Evaluacin y desempeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2.6. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.2.7. El anexo A de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3. Recomendaciones de la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . 33
Compre YA!
3.1. Polticas de seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . 34
5%
descuento EN NUESTRA
TIENDA ONLINE
4 Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad
5%
descuento EN NUESTRA
TIENDA ONLINE
ndice 5
5%
descuento EN NUESTRA
TIENDA ONLINE
6 Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad
5%
descuento EN NUESTRA
TIENDA ONLINE
Agradecimientos
Compre YA!
5%
descuento EN NUESTRA
7
TIENDA ONLINE
Introduccin
Con este libro se pretende ofrecer al lector una descripcin de los conceptos y re-
quisitos para la implantacin efectiva de un Sistema de Gestin de Seguridad de la
Informacin (SGSI), utilizando para ello el estndar ms frecuentemente utilizado:
UNE-ISO/IEC 27001, en su versin de 2014.
Por otra parte, se incluye un captulo en relacin al Esquema Nacional de Seguridad
(ENS), regulado en el Real Decreto 3/2010, de obligado cumplimiento en el mbito
de la Administracin Electrnica, en el que se analizan las similitudes entre UNE-
ISO/IEC 27001 y ENS y cmo dar cumplimiento a este ltimo mediante un SGSI.
En cualquier caso, esta publicacin ofrece una orientacin y alternativas para la im-
plantacin de un SGSI, presentando ejemplos y casos prcticos, si bien existen otros
mecanismos y mtodos igualmente vlidos.
Otra herramienta importante para la implantacin de los requisitos de la Norma
UNE-ISO/IEC 27001 es la Norma UNE-ISO/IEC 27002, que ofrece un conjunto
de recomendaciones y buenas prcticas para la implantacin de las medidas de segu-
ridad seleccionadas, para lo que se ha incluido un captulo descriptivo de las mismas.
Compre YA!
5%
descuento EN NUESTRA
9
TIENDA ONLINE
1 Los Sistemas de
Gestin de Seguridad
de la Informacin (SGSI)
En su versin de 2014, la norma ha adoptado la estructura del Anexo SL, que ser
el que adopten otras normas internacionales como UNE-EN ISO 9001 o UNE-EN
ISO 14001, y que permitir una mejor integracin de sistemas de gestin basados
en estas normas, al poseer idntica estructura y requisitos comunes. De esta manera,
para conseguir una gestin ms eficiente de los recursos, se recomienda, como norma
general, integrar los distintos sistemas de gestin implantados en la organizacin.
Compre YA!
5%
descuento EN NUESTRA
11
TIENDA ONLINE
12 Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad
A la hora de disear el SGSI, se debe tener en cuenta que sobre el mismo se aplicar
un proceso de mejora continua, con lo que conviene partir de una primera versin
del mismo adaptado a las necesidades, operativas y recursos de la organizacin, con
unas medidas de seguridad mnimas que permitan proteger la informacin y cumplir
con los requisitos de la norma. As, el SGSI ser mejor adoptado por las personas
implicadas, evolucionando de manera gradual y con un menor esfuerzo.
Compre YA!
5%
descuento EN NUESTRA
TIENDA ONLINE
1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 13
5%
descuento EN NUESTRA
TIENDA ONLINE
14 Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad
5%
descuento EN NUESTRA
TIENDA ONLINE
1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 15
Los objetivos de control y los controles de esta norma internacional sirven de gua
para la implantacin de las medidas de seguridad. Por ello, la seleccin de los controles
se realizar en funcin de los resultados de un proceso previo de evaluacin de ries-
gos, y el grado de implementacin de cada control se llevar a cabo de acuerdo a las
necesidades de seguridad identificadas y a los recursos disponibles de la organizacin,
buscando un equilibrio entre seguridad y coste.
Compre YA!
5%
descuento EN NUESTRA
TIENDA ONLINE
Sobre los autores
Compre YA!
5%
descuento EN NUESTRA
163
TIENDA ONLINE
Final del fragmento del libro
Compre YA!
5%
descuento
en
ne
nu n li
e stra
ti e n d a o