Documente Academic
Documente Profesional
Documente Cultură
Consulting Manager
Eric.moran@myt.com.pe
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Agenda
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
1. Alcance
General Aplicacin
2. Referencias normativa
3. Trminos y definiciones
5. Responsabilidad de la gerencia
Requisitos obligatorios de ISO 27001 Objetivos de control y controles (Desarrollado en ISO 17799)
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE 3
5.1 No conformidades
1. 3 Gestin de la Calidad
2.5 Plan de Tratamiento de Riesgos 2.6 Definir los controles del SGSI
Act Plan Do
Check
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Auditora del SGSI Proceso sistemtico, documentado e independiente que se ejecuta con el fin de obtener evidencias de auditora y evaluarlas objetivamente para determinar si los requisitos y objetivos de control del SGSI son cumplidos o no.
6
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Evidencia de Auditora Registros (logs, actas, libros) Presentacin de hechos Otras informaciones pertinentes La evidencia puede ser:
Cualitativa: declaraciones hechas por el personal Cuantitativas: registros, documentos, etc.
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
REQUERIMIENTOS
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Realizar Auditoras Internas del SGSI La organizacin debe realizar auditoras internas del SGSI en intervalos programados para determinar si los objetivos, controles y procesos de su SGSI:
Cumplen con los requerimientos de la norma ISO 27001 y regulaciones relevantes Cumplen con los requerimientos de seguridad de informacin identificados
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
La seleccin de auditores y la conduccin de auditoras debe asegurar objetividad e imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo.
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE 10
PROCEDIMIENTO DE AUDITORIAS
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE 11
PROCEDIMIENTO DOCUMENTADO
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
12
Tomar Accin
Auditora
AUDITORES
AUDITADOS
La gerencia responsable del rea auditada debe asegurar que las acciones se realizan sin demora para eliminar no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de verificacin
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
13
1. PLANIFICACION
2. EJECUCION
3. REGISTRO
4. CIERRE
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
14
1. PLANIFICACIN
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
15
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
16
Factores a considerar
Alcance del SGSI Complejidad del Sistema Nmero de locales involucrados
Nmero de empleados
Cultura de la empresa
Planeamiento de la Auditora
Idioma
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
17
El Plan de Auditora
Es desarrollado al final de la fase 1 y antes del inicio de la fase 2. Debe reflejar el alcance del SGSI Debe minimizar las interrupciones a la organizacin Debe identificar si se requiere expertos tcnicos Es preparado por el Auditor Lder Es aprobado por el cliente
El cliente es quien solicita la auditora, puede ser el auditado o un tercero.
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
18
Conducir y controlar todas las reuniones con el equipo y con el auditado Comunicar los principales obstculos encontrados
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
19
Objetivos y alcance
Responsabilidades
Documentos de referencia
Equipo de auditora
Idioma de la auditora
Programacin de reuniones
Requisitos de confidencialidad
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
20
Resultados de la Fase 1
Plan de auditora
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
21
2. EJECUCION
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
22
Fase 1
Revisin de Documentacin
Fase 2
Auditora de Implementacin
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
23
Objetivo: brindar un foco para el planeamiento de la auditora (fase 2) obteniendo un entendimiento del SGSI en el contexto de:
La poltica de seguridad de la organizacin y sus objetivos El estado de preparacin de la organizacin para una auditora
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
24
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
25
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
26
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
27
No Conformidades a la Norma
No Conformidad
Menor Mayor
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
28
No Conformidad Menor
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
29
No Conformidad Mayor
La ausencia de, o la falla repetitiva en la implantacin y mantenimiento de uno o ms requerimientos del SGSI
Ejemplo: Ninguna Poltica de Seguridad Ningun registro o evidencia requerida por un control del SGSI
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE 30
3. REGISTRO
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
31
Informe de Auditora
Referencia de la Auditora (cdigo) Detalles de la Auditora Objetivo, alcance y criterio Nombre del equipo de Auditores Nombre de los principales auditados Plan de Auditora Informe de No Conformidades Recomendacin Aprobacin Circulacin
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
32
4. CIERRE
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
33
Reunin de Cierre
1. 2. 3. 4. 5. 6. 7. 8. 9. Lista de Asistencia Agradecimiento Objetivo y Alcance Sistema de Informes (Informe Principal) Limitaciones (muestras) Confidencialidad Resumen de Auditora (no conformidades) Acuerdos entre las partes Recomendacin (Certifica o no Recomienda su Certificacin) 10. Esclarecimientos (dudas, conclusiones) 11. Despedida (cierre final).
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
34
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
35
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERA DE SISTEMAS E INFORMTICA UNIDAD DE POSTGRADO
GRACIAS !!!
Lic. Eric Morn Aazco
MBA, PMP, Lead Auditor ISO 27001
Consulting Manager
Eric.moran@myt.com.pe
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
36