You are on page 1of 10

18/11/2009

Preparación para Certificar ISO 27001

Presentación
Marcelo Cortez San Martín. Socio EMECEDOS
– Magister en Control de Gestión. U de Chile – Diplomado en Gestión Informática. U. de Chile – Certificado CISA (Certified Information System Auditor). ISACA – Certificado ITIL Foundation – Curso de Auditoría BS7799-2 por Applus y DNV (Hoy ISO 27001) – Curso de Implementación BS7799-2 por BSi – Curso Oficial PMP (Project Management Profesional)

1

mantenimiento y mejora de un Sistema de Gestión de la Seguridad de la Información (SGSI) Orientado a los procesos Enfocado en los activos de información Basado en la gestión de riesgos 2 .18/11/2009 Familia de Normas 27000 ISO/IEC 27.002:2005 Código de Prácticas para la Gestión de la Seguridad de la Información ISO/IEC 27. operación.000:2009 Resumen y Vocabulario ISO/IEC 27.005:2008 Administración del Riesgo de Seguridad de la Información ¿Qué es ISO/IEC 27001? Es un modelo para el establecimiento. revisión.001:2005 Sistemas de Gestión de la Seguridad de la Información – Requisitos ISO/IEC 27. implementación. seguimiento.

18/11/2009 Valores de los Activos de Información fid en ci al id a d id gr te In ad Autenticidad Confiabilidad Responsabilidad con obligación de reportar No repudio Co n Disponibilidad SGSI y La Empresa 3 .

Mejora del SGSI Anexo A. Alcance 2. Términos y Definiciones 4. Sistema de Gestión de la Seguridad de la Información 5. Responsabilidades de la Dirección 6 Auditorias Internas del SGSI 7 Revisión del SGSI por la Dirección 8. Objetivos de Control y Controles Hacer 4 . Introducción 1. Referencias Normativas 3.18/11/2009 SGSI Modelo enfocado a los procesos Actu ar Cláusulas ISO 27001 0.

3.2.1 Requisitos Generales 4. Alcance 2.2.1 Generalidades – 4. Introducción 1.2 Control de Documentos – 4. Sistema de Gestión de la Seguridad de la Información 5. Responsabilidades de la Dirección 6 Auditorías Internas del SGSI 7 Revisión del SGSI por la Dirección 8.3 Requisitos de Documentación – 4. Sistema de Gestión de la Seguridad de la Información 4. Términos y Definiciones 4. Objetivos de Control y Controles Cláusula 4. Referencias Normativas 3.2.2 Implementación y Operación del SGSI 4.3 Control de Registros 5 .2 Establecimientos y Gestión del SGSI – – – – 4.2.3.1 Establecimiento del SGSI 4.3 Monitoreo y Revisión del SGSI 4.4 Mantenimiento y Mejora del SGSI Actu ar Hacer 4.18/11/2009 Cláusulas ISO 27001 0. Mejora del SGSI Anexo A.3.

3.3 Monitoreo y Revisión del SGSI 4.2.18/11/2009 Cláusula 4.4 Mantenimiento y Mejora del SGSI 4.3.2 Establecimientos y Gestión del SGSI – – – – 4.1 Generalidades – 4.1 Generalidades – 4.2.4 Mantenimiento y Mejora del SGSI 4.3.1 Establecimiento del SGSI 4.2 Control de Documentos – 4.2 Implementación y Operación del SGSI 4.2. Sistema de Gestión de la Seguridad de la Información 4.2. Sistema de Gestión de la Seguridad de la Información 4.3 Requisitos de Documentación – 4.3.1 Alcance Política de Seguridad Proceso de Gestión de Riesgos Seleccionar objetivos de control y Controles Aprobar riesgos residuales Demostrar autorización y apoyo de la gerencia Declaración de aplicabilidad Cláusula 4.1 Requisitos Generales 4.3 Monitoreo y Revisión del SGSI 4.2.2.3.3 Requisitos de Documentación – 4.2.2 Establecimientos y Gestión del SGSI – – – – 4.2 Control de Documentos – 4.1 Requisitos Generales 4.3 Control de Registros 4.2 Implementación y Operación del SGSI 4.2.3.3 Control de Registros 6 .1 Establecimiento del SGSI 4.2.

2 Implementación y Operación del SGSI 4. Sistema de Gestión de la Seguridad de la Información 4.3.1 Establecimiento del SGSI 4.1 Generalidades – 4.3 Control de Registros Cláusula 4.3.2.1 Requisitos Generales 4.2 Implementación y Operación del SGSI 4.18/11/2009 Cláusula 4.4 Mantenimiento y Mejora del SGSI 4.3.3 Control de Registros 7 .2.2.2.2 Establecimientos y Gestión del SGSI – – – – 4.1 Establecimiento del SGSI 4.1 Generalidades – 4.3. Sistema de Gestión de la Seguridad de la Información 4.3 Requisitos de Documentación – 4.2.2 Establecimientos y Gestión del SGSI – – – – 4.1 Requisitos Generales 4.2.3.2 Control de Documentos – 4.3.3 Requisitos de Documentación – 4.2.3 Monitoreo y Revisión del SGSI 4.3 Monitoreo y Revisión del SGSI 4.2.4 Mantenimiento y Mejora del SGSI 4.2 Control de Documentos – 4.

3. Sistema de Gestión de la Seguridad de la Información 4.2.4 Mantenimiento y Mejora del SGSI 4.1 Establecimiento del SGSI 4.2.2.2. Sistema de Gestión de la Seguridad de la Información 4.3.2 Implementación y Operación del SGSI 4.2.18/11/2009 Cláusula 4.1 Establecimiento del SGSI 4.3.3 Control de Registros Cláusula 4.2 Establecimientos y Gestión del SGSI – – – – 4.3.2 Control de Documentos – 4.3 Requisitos de Documentación – 4.3.3 Monitoreo y Revisión del SGSI 4.3 Control de Registros 8 .1 Requisitos Generales 4.2 Control de Documentos – 4.4 Mantenimiento y Mejora del SGSI 4.2 Implementación y Operación del SGSI 4.3 Requisitos de Documentación – 4.1 Generalidades – 4.3 Monitoreo y Revisión del SGSI 4.2.2 Establecimientos y Gestión del SGSI – – – – 4.1 Generalidades – 4.2.3.2.1 Requisitos Generales 4.

12 Adquisición.9 Seguridad física y del ambiente A.15 Cumplimiento 9 .7 Gestión de Activos A.2. desarrollo y mantenimiento de Sistemas de Información A.3.2.8 Seguridad ligada a los recursos humanos A.10 Gestión de Comunicaciones y Operaciones A.13 Gestión de Incidentes de Seguridad de la Información A.3 Control de Registros Anexo A Objetivos de Control y Controles A.1 Requisitos Generales 4.2.3.6 Organización de la Seguridad de la Información A.1 Establecimiento del SGSI 4.2 Control de Documentos – 4.5 Política de Seguridad A.18/11/2009 Cláusula 4.3 Requisitos de Documentación – 4.2 Establecimientos y Gestión del SGSI – – – – 4.1 Generalidades – 4. Sistema de Gestión de la Seguridad de la Información 4.4 Mantenimiento y Mejora del SGSI 4.3 Monitoreo y Revisión del SGSI 4.3.2 Implementación y Operación del SGSI 4.2.14 Gestión de la Continuidad del Negocio A.11 Control de acceso A.

18/11/2009 Preparación para Certificar ISO 27001 Gracias 10 .