Professional Documents
Culture Documents
ISO 27001
La norma internacional ISO 27001 especifica
Plan de seguridad
Principios bsicos
Integridad
No alteracin de
las
Polticas internas
en su contenido.
Disponibilidad
Confidencialidad
Acceso a la
informacin
por la persona
autorizada.
Informacin
disponible
cuando sea
requerida.
INTEGRIDAD
La informacin solo puede ser
modificada por quien esta
autorizado y de manera
controlada.
CONFIDENCIALIDAD
La informacin solo debe ser
legible para los autorizados.
DISPONIBILIDA
D
Debe estar
disponible cuando
se necesita.
CRITICA
Indispensable para
garantizar la continuidad de
la organizacin.
Algunas definiciones
Importantes
Seguridad de la Informacin (SI).-
Evolucin de la Norma
Seguridad de la
informacin familia
27000
UNE-ISO/IEC 27001:2007 Sistemas de
Estructura de la ISO
27001
Especifica los requisitos necesarios para
mejorar el SGSI.
PlanificaEstablecer
el SGSI
r
Actuar
Mantener y
Mejorar el SGSI
Partes
Interesadas
Requisitos y
expectativas
Partes
Interesadas
Implementar y
operar el SGSI
Hace
r
Monitorear
el SGSI
Verificar
Seguridad
Gestionada
Implantar el SGSI
Planifica
r
PHVA
Actuar
Hace
r
Verificar
Revisiones del SGSI por
parte de la Direccin.
Realizar auditoras internas del
SGSI
Establecer el SGSI
(Plan)
Establecer el SGSI
(Plan)
(Mitigar).
A partir
17799
Establecer enunciado de aplicabilidad
Implementar y operar
(Do)
Implementar y operar la poltica de seguridad,
Implementar
(Do)
Implementar
medidas
eficacia de los controles
y operar
para
evaluar
la
programas
concientizacin.
Implementar
de
Capacitacin
procedimientos y controles
deteccin y respuesta a incidentes.
de
Monitoreo
(Check)
Revisin
Monitoreo y Revisin
(Check)
Se debe establecer y ejecutar procedimientos de
monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y
exitosos.
Brindar a la gerencia indicadores para
determinar la adecuacin de los controles y el
logro de los objetivos de seguridad.
Determinar las acciones realizadas para
resolver brechas a la seguridad.
Mantener registros de las acciones y eventos que
pueden impactar al SGSI.
Realizar revisiones regulares a la eficiencia del
Mantenimiento y mejora
del SGSI (Act)
Tomar
Documentacin del
SGSI
Contenido de los documentos
MANUAL DE
SEGURIDAD
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
REGISTROS
Describe tareas y
requisitos
Son evidencias objetivas de la
ejecucin
de
procesos,
actividades o tareas
Requisitos de
Certificacin del SGSI
Lanorma
establece
requisitos
para
Establecer, Implementar y Documentar un
SGSI.
Definir el alcance del SGSI (fronteras)
Definir una poltica de seguridad
Identificar activos
Realizar el anlisis de riesgos de activos.
Identificar las reas dbiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar
y
manejar
los
controles
seleccionados
Objetivos de auditoria
Para obtener la certificacin.
Revisar conformidad con la norma (ISO/IEC 27001)
Revisar grado de puesta en prctica del sistema
Revisar la eficacia
y adecuacin en el
cumplimiento de:
Poltica de seguridad
Objetivos de seguridad
Identificar las fallas y debilidades en la seguridad
Proporcionar una oportunidad para mejorar el
SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.
ISO 27001
Definicin del Alcance
Evaluacin y Manejo de los riesgos
Pasos
previos
1. Poltica de Seguridad
2. Estructura Organizativa para la Seguridad
Como nos
organizamos
4. Seguridad
Ligada al
Personal (RRHH)
5. Seguridad
Fsica y del
Entorno
6. Gestin de
Comunicaciones 8. Adquisicin,
Desarrollo y
y Operaciones
(administracin) Mantenimiento
de Sistemas
Como lo
vamos a
hacer
Contingencia
y Seguimiento
Establecimiento de un
SGSI
Establecimiento de un
SGSI
Establecimiento de un
SGSI
Establecimiento de un
SGSI
Implementacin de un
SGSI
Implementacin de un
SGSI
Monitoreo y revisin de
SGSI
Monitoreo y revisin de
SGSI
Monitoreo y revisin de
SGSI
Mantenimiento y mejora
SGSI
1 Documentacin de
SGSI
-Poltica y Objetivos del SGSI
-Alcance
-Procedimientos y controles
-Descripcin metodologa Risk Assessment
-Reportes del Risk Assessment
-Plan de Tratamiento de Riesgos (RTP)
-Los registros requeridos por ISO 27001
-El Estado de Aplicabilidad
2 Control de documentos
-Aprobacin de documentos antes de su
emisin
-Revisin y actualizacin y necesidad de
re-aprobacin
-Identificacin de cambios y versiones en
vigor
-Garantizar que las versiones aplicables se
encuentren en los puntos de uso
-Garantizar que los documentos
permanecen legibles y fcilmente
identificables
2 Control de documentos
Garantizar que estn a disposicin de las
3 Control de registros
Muestran evidencias de la conformidad del
4 Compromiso de
direccin
La Alta Direccin debe proveer evidencia de su
ao
Debe incluir oportunidades de mejora y
necesidad de cambios en el SGSI
Analizar posibles cambios en la Poltica y en
los Objetivos
Los resultados de la RxD deben estar
documentados manteniendo registro
Entradas
Resultados de auditoras y RxD previas
Feedback de partes interesadas
Estado de acciones correctivas/preventivas
Tcnicas, productos o procedimientos que
Salidas
Mejora de la eficacia del SGSI
Actualizacin del Risk Assessment y del Risk
Treatment Plan
Modificacin de procedimientos y controles
necesarios, incluyendo cambios en:
- Requerimientos de negocio
-Requerimientos de seguridad
-Procesos de negocio
-Requisitos legales o regulatorios
-Obligaciones contractuales
-Niveles de riesgo y/o criterios de aceptacin de
riesgo
Necesidad de recursos
Mejora de los mtodos de medida de la eficacia de los
4 Compromiso de
direccin
Comunicando responsabilidades y la
5 Provisin de recursos
6 Formacin, Toma de
Conciencia y
Competencia
1) Determinar competencias para el personal
Programa de Auditoras.
En funcin de la importancia de los procesos y
reas a auditar.
En funcin de resultados de auditoras
previas.
Debe definirse: - Criterios de auditora y
Alcance
-Frecuencia y Metodologa (ISO 19011 Gua)
8 Mejora continua
Procedimiento AACC
-Identificar No Conformidades
-Determinar sus causas
-Evaluar necesidad de actuacin
-Determinar AACC necesarias
-Registrar resultados de las acciones
-Revisar las AACC tomadas
8 Mejora continua
Procedimiento AAPP
-Identificar No Conformidades
Potenciales
-Determinar sus causas
-Evaluar necesidad de
actuacin preventiva
-Determinar AAPP necesarias
-Registrar resultados de las
acciones
-Revisar las AAPP tomadas
Su prioridad ir en funcin del
Risk Assessment
OBJETIVOS Y CONTROLES
Graci
as
ISO